BaFin veröffentlicht Verlautbarungen zu Themenblock 1 „Allgemeine Governance Anforderungen“

In Vorbereitung auf Solvency II hat die BaFin ein strukturiertes und dialogorientiertes Vorgehen bei der Anwendung der EIOPA Leitlinien entwickelt. In diesem Zusammenhang wurden die EIOPA Leitlinien in 15 Themenblöcke gruppiert (siehe Blog-Beitrag vom 5. November 2013 und 28. Februar 2014).

Neben den Themenblöcken 9 „Beurteilung des Gesamtsolvabilitätsbedarfs und allgemeine Anforderungen für den ORSA“ und 2 „Prüfung der fachlichen Eignung und Zuverlässigkeit“ hat die BaFin am 16. April 2014 nun auch Verlautbarungen zu Themenblock 1 „Allgemeine Governance Anforderungen“ veröffentlicht. Die inländischen Erst- und Rückversicherungsunternehmen sowie der BaFin unterliegende (ausländische) Versicherungsgruppen können zur Verlautbarung zu Themenblock 1 bis zum 9. Mai 2014 Erklärungswünsche und Kommentare bei der BaFin einreichen (Vorbereitungsphase@bafin.de).

Die Verlautbarungen dienen dazu, die bereits veröffentlichten EIOPA Leitlinien zu den allgemeinen Governance Anforderungen (Leitlinie 3 bis 10 der EIOPA Leitlinien zum Governance-System) zu konkretisieren und den Unternehmen praktische Umsetzungshinweise und Beispiele für die Vorbereitungsphase an die Hand zu geben. Die Erwartungen der BaFin an die konkrete Umsetzung lassen sich aus den Verlautbarungen ableiten. Insbesondere im Themenblock 1 „Allgemeine Governance Anforderungen“ verweist die BaFin an zahlreichen Stellen auf geltendes Recht. Hieraus wird ersichtlich, dass die bereits im nationalen Gesellschafts- und Versicherungsaufsichtsrecht verankerten Governance-Vorschriften als Mindestvoraussetzung bei der Beurteilung des Umsetzungsstands gesehen werden.

Im Folgenden werden die wesentlichen inhaltlichen Aspekte zusammengefasst und dabei vor allem diejenigen Aspekte aufgegriffen, die über den Detaillierungsgrad der EIOPA Leitlinien hinausgehen. Dabei spielt bei der Umsetzung der allgemeinen Governance-Anforderungen der Grundsatz der Proportionalität eine wichtige Rolle. Alle Anforderungen sind daher auch unter dem Proportionalitätsgrundsatz und somit in Bezug auf das individuelle Risikoprofil zu betrachten.

Aufbau- und Ablauforganisation

Grundsätzlich sind die Unternehmen in der Ausgestaltung der Solvency II-Anforderungen frei. Eine Bewertung der Angemessenheit der Aufbau- und Ablauforganisation sollte unter Berücksichtigung des individuellen Risikoprofils erfolgen. Die Aufbau- und Ablauforganisation sollte sich an den strategischen Zielen orientieren. Eine Anpassung der Strukturen bei Änderungen der strategischen Ziele (bspw. Bestandsübertragungen, Änderungen in der Gruppenstruktur, Run-offs) ist zu berücksichtigen. Unabdingbar ist eine klare Definition von Aufgaben und Verantwortlichkeiten, Schnittstellen und Berichtslinien. Zudem sind effektive Verfahren und Prozesse zu etablieren, um kontinuierlich potentielle Interessenkonflikte aufzudecken und abzumildern.

Geschäftsabläufe, die mit wesentlichen Risiken einhergehen, sind anhand geeigneter Kriterien zu überprüfen. Hierfür ist es zweckmäßig, zunächst eine unternehmensindividuelle Wesentlichkeitsgrenze zu definieren. Wichtig ist, dass hierbei Wesentlichkeit über den Wesentlichkeitsbegriff, wie er in den MaRisk (VA) beschrieben ist, hinausgeht. Dies haben die Unternehmen in der Vorbereitungsphase gegebenenfalls bei der Festlegung ihrer individuellen Wesentlichkeitsgrenzen zu beachten.

Um eine angemessene Steuerung und Überwachung der identifizierten Prozesse zu gewährleisten, sollten die einzelnen Prozessschritte klar festgelegt werden. In diesem Rahmen sind die erforderlichen Kontrollaktivitäten und gegebenenfalls Eskalationsschritte, die prozessspezifischen Zuständigkeiten und die Informationsflüsse einzuschließen. Um die sorgfältige und gewissenhafte Aufgabenwahrnehmung weiter zu unterstützen, sollte die Erstellung und Umsetzung eines Verhaltenskodex für das gesamte Personal in Betracht gezogen werden.

Die Aufbau- und Ablauforganisation ist für Dritte nachvollziehbar zu dokumentieren und die Dokumentation auf aktuellem Stand zu halten. Vorgängerversionen sind mindestens sechs Jahre aufzubewahren.

Die BaFin erwartet von der Geschäftsleitung des auf Gruppenebene zuständigen Unternehmens eine angemessene Kenntnis der internen Organisation der Gruppe, der Geschäftsmodelle der verschiedenen Unternehmen, der Verbindungen und Beziehungen zwischen ihnen und der aus der Gruppenstruktur resultierenden Risiken. Die Verantwortung für Anpassungen der Aufbau- und Ablauforganisation auf Ebene eines Einzelunternehmens liegt jedoch bei der Geschäftsleitung des betreffenden Unternehmens. Gegebenenfalls sind Vorgaben des für die Gruppe zuständigen Unternehmens zu beachten und unternehmensindividuell umzusetzen.

Interne Überprüfung des Governance-Systems

Neben der durch die interne Revision durchzuführenden Bewertung, ob das interne Kontrollsystem und andere Bestandteile des Governance-Systems angemessen und wirksam sind, hat zusätzlich eine Überprüfung des Governance-Systems als Ganzes zu erfolgen. Als Grundlage für diese interne Überprüfung können neben Erkenntnissen aus Prüfungen der Internen Revision, insbesondere auch Informationen dienen, die die weiteren Schlüsselfunktionen bei der Durchführung ihrer Aufgaben erhalten. Im Regelfall ist eine jährliche Überprüfung ausreichend. Wenn die Geschäftsleitung den Umfang und die Häufigkeit der internen Überprüfung des Governance-Systems festlegt, ist es aber auch sinnvoll, Kriterien zu bestimmen, nach denen eine außerplanmäßige Überprüfung stattfinden soll.

Die Ergebnisse der internen Überprüfung sind von der Geschäftsleitung unter Einbeziehung der Schlüsselfunktionen zu diskutieren und entsprechende Maßnahmen abzuleiten sowie zu dokumentieren.

Interne Leitlinien

Die Unternehmen sind bereits heute dazu angehalten, für die mit wesentlichen Risiken behafteten Geschäftsabläufe innerbetriebliche Leitlinien aufzustellen. Da der Anwendungsbereich von Solvency II insgesamt weiter gefasst ist als die MaRisk VA gehen die Anforderungen an die schriftlich festzulegenden Leitlinien unter Solvency II darüber hinaus. Die bisher geltenden Regelungen bilden laut BaFin jedoch eine solide Grundlage, um die Bedingungen an schriftlich festzulegende Leitlinien unter Solvency II erfüllen zu können.

Die Festlegung der Geschäfts- und Risikostrategie liegt in der nicht delegierbaren Gesamtverantwortung der Geschäftsleitung. Leitlinien, welche auf Gruppenebene beschlossen wurden, gelten nach Auffassung der BaFin nicht automatisch in den rechtlich selbstständigen Einzelunternehmen. Dies gilt auch, wenn Beherrschungsverträge bestehen.

Die Unternehmen sollten im Vorfeld festlegen, welche Änderungen in den schriftlich festgelegten Leitlinien als geringfügig einzuschätzen sind. Andernfalls bedürfen sie grundsätzlich der Zustimmung durch die Geschäftsleitung.

Folgende Mindestanforderungen an die schriftlich festgelegten Leitlinien sind zu berücksichtigen:

  • Darstellung der Ziele, Aufgaben und Verantwortlichkeiten.
  • Berücksichtigung von Schnittstellen und Abgrenzungen.
  • Vorgabe von Prozessen und Berichtsverfahren zur Umsetzung.
  • Definition der Befugnisse der Schlüsselfunktionen in den relevanten Leitlinien und Festlegung, welche Informationen an die Schlüsselfunktionen zu übermitteln sind.

Eine Abstimmung der schriftlichen Leitlinien hat sowohl untereinander, als auch mit der Geschäftsstrategie zu erfolgen, sofern sie das Governance-System betreffen. Alle schriftlichen Leitlinien müssen auf einheitliche Art und Weise sowie vollständig überprüft werden. Die Überprüfung der schriftlich festgelegten Leitlinien muss angemessen dokumentiert werden. Festgestellte Probleme und daraus resultierende Empfehlungen gegenüber der Geschäftsleitung sollen dokumentiert werden.

Aus den Leitlinien sollten sich Arbeitsprozesse herausbilden lassen, welche von den relevanten Mitarbeitern einzuhalten sind. Die Unternehmen sollten dementsprechend interne Kontrollen einführen, die sicherstellen, dass entsprechend den internen Leitlinien gehandelt und nicht dagegen verstoßen wird bzw. Verstöße zeitnah bekannt werden.

Das Verwaltungs-, Management- oder Aufsichtsorgan

Die BaFin stellt klar, dass im Zusammenhang mit dem Governance-System mit dem Verwaltung-, Management- oder Aufsichtsorgan (VMAO) national regelmäßig zunächst die Geschäftsleitung angesprochen ist. Dies bedeutet aber nicht, dass das Governance-System für den Aufsichtsrat nicht von Bedeutung ist.

Geschäftsleitung und Aufsichtsrat eines Unternehmens haben in angemessener Interaktion mit von ihnen eingesetzten Ausschüssen sowie mit Führungskräften und Schlüsselaufgaben innerhalb des Unternehmens zu stehen. Die BaFin erwartet, dass Geschäftsleitung und Aufsichtsrat auch weiterhin von sich aus alle potentiell relevanten Informationen einfordern und bei Bedarf hinterfragen.

Die Geschäftsleitung hat die für ihre Führungsaufgaben nötige Entscheidungskompetenz sowie die Umsetzung ihrer Entscheidungen sicherzustellen. Dies umfasst regelmäßige- und ad-hoc-Informationsrechte und -pflichten sowie entsprechende Beratungen. Dafür sollten bereits nach geltendem Recht angemessene Prozesse etabliert sein.

Geschäftsleitung und Aufsichtsrat haben in eigener Verantwortung zu überlegen, ob eine – und falls ja welche – Ausschussstruktur für das Unternehmen geeignet ist (bspw. Risiko-, Prüfungs-, Anlage-, Rückversicherungs- oder Vergütungsausschuss). Auch das Einsetzen von Ausschüssen führt nicht zu einer Verlagerung der Verantwortung. Die Geschäftsleitung ist und bleibt verantwortlich für die ordnungsgemäße Geschäftsorganisation, insbesondere für ein angemessenes Risikomanagement. Auf Gruppenebene muss die Geschäftsleitung des zuständigen Unternehmens in angemessener Interaktion mit den Geschäftsleitungen aller Unternehmen innerhalb der Gruppe stehen.

In der Tradition des nationalen Gesellschafts- und Versicherungsaufsichtsrechts, misst die BaFin dem Vier-Augen-Prinzip auf Geschäftsleitungs-Ebene und auf den Ebenen darunter seit langem eine bedeutende Rolle bei.

Bei wesentlichen Entscheidungen sollte sich die Geschäftsleitung als Gesamtorgan die Entscheidungsgewalt vorbehalten.

Die Geschäftsleitung hat die von ihr getroffenen Entscheidungen sowie die Art und Weise, wie Informationen aus dem Risikomanagementsystem berücksichtigt werden, in angemessener Weise zu dokumentieren. Die BaFin betont an dieser Stelle ausdrücklich die Wichtigkeit des Nachweises, wie die Risikomanagementfunktion in Entscheidungen eingebunden wird und wenn nicht, warum dies nicht als notwendig erachtet wird. Die Dokumentation muss vollständig, exakt und mit den wesentlichen Hintergrundinformationen angereichert sein, so dass eine fachkundige Person die Entscheidung inhaltlich nachvollziehen und gegebenenfalls überprüfen kann.

Schlüsselfunktionen

Ausschließlich interne Revisionsfunktion, Compliance-Funktion, Risikomanagementfunktion (URCF) und versicherungsmathematische Funktion sind Schlüsselfunktionen.

In dieser Verlautbarung geht es vornehmlich um übergeordnete organisatorische Aspekte, die alle Schlüsselfunktionen betreffen. In weiteren Veröffentlichungen wird die BaFin sich speziell zur internen Revisionsfunktion und Compliance-Funktion (Themenblock 6), zur Risikomanagementfunktion (URCF – Themenblock 3) und zur versicherungsmathematischen Funktion (Themenblock 7) äußern.

Die Solvency II-Richtlinie enthält keinerlei Ausnahmen für bestimmte Arten von Unternehmen; ebenso wenig ermächtigt sie die nationalen Aufsichtsbehörden, im Einzelfall Ausnahmen zu gewähren.

Im Vergleich zum geltenden § 64a VAG ist nur die versicherungsmathematische Funktion ganz neu. Die Schaffung einer internen Revision und einer unabhängigen Risikocontrollingfunktion ist bereits gesetzlich im VAG verankert.

In Bezug auf Compliance ist zu unterscheiden: Es gibt bisher zwar keine organisatorische Vorgabe, eine Compliance-Funktion einzurichten. Jedes Unternehmen muss aber schon jetzt „compliant“ sein, also alle auf seinen Geschäftsbetrieb anwendbaren Gesetze und sonstigen Vorgaben einhalten. Außerdem unterliegt die Geschäftsleitung der aus dem Aktiengesetz folgenden Legalitätspflicht.

Die Schlüsselfunktionen müssen in „angemessener“ Weise eingerichtet werden. Mit Ausnahme der internen Revisionsfunktion kommen neben zentralen/stabsstellenartigen auch dezentrale/ integrierte Gestaltungsformen sowie gruppenbezogene Mischformen in Betracht.

Laut BaFin ist es denkbar, die für eine Schlüsselfunktion notwendige Personenkapazität und das erforderliche Know-how aus verschiedenen organisatorischen Einheiten eines Unternehmens (etwa verschiedenen Abteilungen) zu generieren. Durch die Zuordnung der funktionsspezifischen Aufgaben bilden die Mitarbeiter dann die Schlüsselfunktion im Sinne einer eigenen organisatorischen Einheit. Eine gruppenbezogene Mischform wäre beispielsweise die Abbildung einer Schlüsselfunktion über eine eigenständige Abteilung auf Ebene des Mutterunternehmens und eine integrierte Organisation auf Ebene des Tochterunternehmens.

Besonders bei integrierten Ansätzen zur Organisation einer Schlüsselfunktion kommt es auf eine eindeutige und transparente Aufgabendefinition und -zuweisung an. Diese muss in internen Leitlinien festgehalten werden. Potentielle Interessenkonflikte sind zu vermeiden. Die Schlüsselfunktionen müssen jederzeit frei von Einflüssen sein, die eine objektive, faire und unabhängige Aufgabenerfüllung verhindern.

In allen – auch dezentralen – Gestaltungsformen muss es ungeachtet der nicht delegierbaren Letztverantwortung der Geschäftsleitung eine natürliche Person geben, die die operative Verantwortung dafür trägt, dass die jeweilige Schlüsselfunktion ihre Aufgaben ordnungsgemäß erfüllt („verantwortlicher Inhaber“ einer Schlüsselfunktion).

Im Modell der „Three Lines of Defense“ bildet die interne Revisionsfunktion die dritte Verteidigungslinie, die anderen Schlüsselfunktionen gehören zur zweiten Verteidigungslinie. Unabhängig von dieser Einordnung stehen die Schlüsselfunktionen unter Solvency II gleichrangig und gleichberechtigt nebeneinander, ohne untereinander weisungsbefugt zu sein. Die Geschäftsleitung bildet die Eskalationsinstanz im Falle von Kontroversen zwischen den Schlüsselfunktionen. Alle Schlüsselfunktionen müssen direkt und unmittelbar an die – letztverantwortliche − Geschäftsleitung berichten. Spiegelbildlich hierzu muss die Geschäftsleitung eigeninitiativ und angemessen mit den Schlüsselfunktionen interagieren.

Schlüsselfunktionen benötigen uneingeschränkten Zugang zu den für die Erfüllung ihrer Aufgabe relevanten Informationen und müssen über die relevanten Sachverhalte zeitnah, gegebenenfalls ad hoc, informiert werden.

Im Prinzip ist bei jedem Unternehmen eine Ausgliederung aller vier Schlüsselfunktionen möglich. Im Falle des Outsourcing muss das Unternehmen jedoch einen Ausgliederungsbeauftragten benennen. Im Hinblick auf die Gefahr von Interessenskonflikten werden Konstellationen, die eine Personenidentität der involvierten Vorstände aufweisen, von der BaFin kritisch gesehen. Generell nicht zulässig ist, dass der Ausgliederungsbeauftragte bei dem Gruppenunternehmen angestellt ist, auf das die Schlüsselfunktion ausgegliedert wurde.

Notfallpläne

Alle Unternehmen haben sich fortlaufend mit einer Notfallplanung auseinanderzusetzen. Verantwortlich für die Notfallplanung ist die Geschäftsleitung. Die Verantwortung kann nicht delegiert werden. Notfallpläne sind mindestens für diejenigen Bereiche und Prozesse zu erstellen, bei denen der Eintritt einer unvorhergesehenen Störung den Fortbestand des Unternehmens gefährden könnte. Die ausgegliederten Bereiche und Prozesse sind in die Notfallplanung einzubeziehen. Die Wirksamkeit und Angemessenheit der Notfallpläne sind fortlaufend sicherzustellen.

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

/* */