Compliance in der Versicherungswirtschaft: Praktische Umsetzung der Complianceanforderungen gemäß Solvency II
Von Bernd Michael Lindner und Dorit Schroeren

Beitrag als PDF (Download)

Einleitung

Das Solvency-II-Regelwerk und damit auch eine der künftigen Governanceanforderungen „Etablierung der Compliancefunktion bei Versicherungen“ tritt Anfang 2016 in Kraft. Dieser Artikel verzichtet auf die Aufzählung der rechtlichen Anforderungen. Vielmehr ist die Zielsetzung der weiteren Abhandlung, einen methodischen Ansatz auf Basis rechtlicher Anforderungen darzustellen. Daneben werden Tipps zur wirksamen und kosteneffizienten Umsetzung gegeben.

Versicherungsunternehmen werden – aufgrund der in Solvency II vorgesehenen und im Versicherungsaufsichtsgesetz sowie in den Vorgaben des europäischen und des deutschen Regulators umgesetzten, eher prinzipienbasierten Regulierung – Grundsätze, Ziele und Mindestanforderungen sowie Kernaufgaben vorgegeben. Die Implementierung und Ausgestaltung obliegt im Detail den Unternehmen und eröffnet weite Spielräume. Im Rahmen der Ausgestaltung kommt dem Begriff der „Proportionalität“ eine wichtige Rolle zu. Dieser ist auf die angemessene Ausgestaltung der Regelungen ausgerichtet. Die Grundlage der gewählten Umsetzungstiefe der Compliancefunktion bilden hierbei das unternehmensspezifische Risikoprofil sowie Wesensart, Umfang, Komplexität und Risiko der Geschäftstätigkeit und die sich verändernden äußeren Gegebenheiten. Dies bedeutet, dass die Ausgestaltung der Compliancefunktion und der Umfang der anzuwendenden Maßnahmen unternehmensindividuell festgelegt werden müssen. Einen pauschalen Ansatz für alle Versicherungsunternehmen kann es somit nicht geben.

Methodischer Ansatz: Konzeption auf Basis rechtlicher Anforderungen

Beobachtung des Rechtsumfelds (Frühwarnfunktion)

Eine zentrale Anforderung an die Compliancefunktion ist die Beobachtung von Entwicklungen und Veränderungen des Rechtsumfelds und die Beurteilung ihrer Auswirkungen auf das Versicherungsunternehmen. Vor dem Hintergrund des breiten fachlichen Spektrums der gesetzlichen und regulatorischen Anforderungen erscheint ein diversifizierter Ansatz der Beobachtung des Rechtsumfelds adäquat. Zum einen führen die für die Umsetzung der jeweiligen Anforderungen verantwortlichen Fachbereiche eine auf ihr jeweiliges Themengebiet fokussierte dezentrale Beobachtung durch. Zum anderen werden über die Compliancefunktion die einzelnen Maßnahmen der Beobachtung koordiniert und die Ergebnisse aggregiert. Darüber hinaus werden zur Sicherstellung der Ergebnisse der dezentralen Beobachtung diese im Rahmen eines Compliancegremiums zusammengeführt und hinsichtlich des Risikos analysiert und bewertet.

Risikoidentifizierung und -beurteilung ­ (Frühwarn- und Risikokontrollfunktion)

Die Identifizierung und die Beurteilung der Compliancerisiken, die sich aus der Nichteinhaltung der externen und internen Anforderungen ergeben, stellen weitere Anforderungen dar. Um diesen gerecht zu werden, ist eine initiale Aufnahme der Gesamtheit aller zu beachtenden Gesetze, Verordnungen, aufsichtsbehördlichen Verwaltungsvorschriften, Branchenstandards und Selbstverpflichtungen etc. notwendig. Diese werden anschließend auf ihre Relevanz hin überprüft. Entscheidend sind hierbei die Anwendbarkeit der Anforderungen an die Unternehmensart, das Geschäftsmodell, die Rechtsform und die angebotenen Produkte. Die relevanten Anforderungen werden nun einer Risikoidentifizierung und -beurteilung zur Ableitung des Compliancerisikos unterzogen. Diese Bewertung des Compliancerisikos kann sich an mehreren Kriterien orientieren: Sanktionsrisiko, Reputationsrisiko oder finanzielle Risiken. Die Risikoidentifizierung und -bewertung sollte in einem adäquaten zeitlichen Turnus durchgeführt werden, um den externen und internen Veränderungen gerecht zu werden.

Festlegung von Verantwortlichkeiten in Abstimmung mit Fachbereichen (Beratungsfunktion)

Das Hinwirken auf die Implementierung angemessener und wirksamer Verfahren zur Einhaltung externer und interner Vorgaben ist eine weitere zentrale Anforderung an die Compliancefunktion. Die Festlegung der Verantwortlichkeiten ist für die Einhaltung dieser Vorgaben unabdingbar. Zu diesem Zweck ist eine enge Abstimmung zwischen der Compliancefunktion und den Fachbereichen notwendig. Beispielhaft kann die Nutzung des bereits im Rahmen der Beobachtung des Rechtsumfelds vorgestellten Compliancegremiums in diesem Zusammenhang die Möglichkeit eines institutionalisierten Prozesses bieten. Als Ergebnis der Abstimmung wird eine genau definierte Verantwortung für die Durchführung angemessener sowie wirksamer Maßnahmen festgelegt. Die Compliancefunktion kann hier direkt der ihr zugedachten Beratungsfunktion gerecht werden, indem sie den Fachbereichen bereits bei der Festlegung der Verantwortlichkeiten und der Auswahl und Implementierung wirksamer Maßnahmen beratend zur Seite steht.

Beurteilung der Angemessenheit und Wirksamkeit/Überwachungshandlungen (Risikokontroll- und Überwachungsfunktion)

Durch Solvency II und die Vorgaben der BaFin wird die Beurteilung der Angemessenheit und Wirksamkeit solcher Präventionsmaßnahmen zur Einhaltung von Anforderungen ebenfalls als Aufgabe der Compliancefunktion definiert. Die Prozesse zur Beurteilung der Angemessenheit und Wirksamkeit und der Umfang der Überwachungshandlungen können unterschiedlich ausgestaltet sein. Grundsätzlich sei zu erwähnen, dass sich die Compliancefunktion die Erkenntnisse aus den Prüfberichten der Internen Revision oder externer Prüfungen zunutze machen kann. Daneben können auch bestehende Gefährdungsanalysen (bspw. Geldwäscheprävention) und Erkenntnisse aus IKS-Prozessen herangezogen werden. Die zur Verfügung gestellten Informationen über Maßnahmen und bereits durchgeführte Prüfungen sind durch die Compliancefunktion in jedem Fall zu plausibilisieren. Je nach Höhe des festgestellten Compliancerisikos hat eine intensivere Beurteilung und Überwachung der Präventionsmaßnahmen stattzufinden. Dies kann sich im zeitlichen Horizont oder in der Intensität der Beurteilung und der durchgeführten Überwachungshandlungen ausdrücken. Die Ergebnisse der Überwachungshandlungen und der Beurteilung der Angemessenheit und Wirksamkeit werden zur Ableitung von Defiziten und sich daraus ergebenden Verbesserungsmaßnahmen herangezogen.

Berichterstattung (Beratungsfunktion)

Zur Aufgabe der Compliancefunktion gehört auch die Berichterstattung an die Geschäftsleitung. Diese hat mindestens jährlich stattzufinden und hierbei insbesondere über die bestehenden Compliancerisiken sowie die ergriffenen risikoreduzierenden Maßnahmen, die Compliance-seitige Beurteilung der Angemessenheit und Wirksamkeit der implementierten Verfahren und die Einhaltung sämtlicher rechtlicher Anforderungen Auskunft zu geben. Im Rahmen der Berichterstattung ist zu empfehlen, einen integrierten Ansatz (Risikomanagement, IKS, Compliance) anzustreben. Somit wird ein mögliches „Silo-Denken“ vermieden.

Vorgehensmodell zur Umsetzung im Versicherungssektor

Compliancezielbild

Ein erster Schritt in Richtung der Definition und Ausgestaltung einer Compliancefunktion ist die Entwicklung eines Compliancezielbilds. Im Rahmen des Zielbilds werden die strategischen Compliancethemen Kultur, Aufbau- und Ablauforganisation einschließlich Kompetenzen und Schnittstellen unternehmensindividuell definiert. Weiterhin werden die Rahmenbedingungen für die weiter oben dargestellten Operationalisierungsfelder der Compliancefunktion festgelegt. Als Methode sollte ein Workshop gewählt werden, in dem neben der Compliancefunktion auch weitere Schlüsselfunktionen sowie relevante Fachbereiche teilnehmen sollten. Es empfiehlt sich, das entwickelte Compliancezielbild mit dem Gesamtvorstand abzustimmen. Neben den dargestellten Aktivitäten sollten in diese Projektphase die oben beschriebene Konzeption zur Beobachtung des Rechtsumfelds sowie die Risikoidentifizierung und -bewertung integriert werden.

Ist-Analyse

Für die als wesentlich identifizierten Themen sollte eine Ist-Analyse durchgeführt werden. Dieser Schritt hat mehrere positive Aspekte, die beim Aufbau der Compliancefunktion unterstützen. Die Risikosituation kann beurteilt werden, und somit können die Ergebnisse für die übergreifende Compliancerisikoanalyse genutzt werden. Weiterhin werden Abweichungen vom Compliancezielbild und von rechtlichen Anforderungen identifiziert. Ein weiterer wichtiger Nutzen ist, dass bereits vorhandene, gute Compliancemaßnahmen künftig auch weiter genutzt werden. Somit hat diese Phase des Aufbaus der Compliancefunktion auch eine kostenreduzierende Wirkung. Bestandteile dieser Phase sind die Analyse der vorhandenen Compliancedokumentation bzw. der schriftlich fixierten Ordnung sowie die Befragung der für Compliancethemen verantwortlichen Mitarbeiter durch Interviews oder Workshops.

Ableitung der Gaps/Konzeption und Planung der Umsetzung

Durch einen Abgleich der ermittelten Ergebnisse mit dem Compliancezielbild und den rechtlichen Anforderungen werden mögliche Gaps festgestellt. Jedes Gap wird hinsichtlich des jeweiligen Risikograds (Eintrittswahrscheinlichkeit/Auswirkungsgrad) bewertet. Diese Maßnahme dient zur Priorisierung der Schließung von festgestellten Gaps. Somit wird die Grundlage des Complianceplans geschaffen, der durch die weiteren aufsichtsrechtlich geforderten Themen ergänzt werden kann.

Fazit

Der dargestellte methodische Ansatz sowie der Start der Umsetzung mit einer Compliancezielbildentwicklung kombiniert mit einer Ist-Analyse sind eine gute Methode zum Aufbau der Compliancefunktion. Insbesondere kann mit Hilfe des Compliancezielbilds frühzeitig der nach Umsetzung notwendige Personalbedarf für die Compliancefunktion ermittelt werden. Die Basis für den Aufbau der Compliancefunktion ist somit geschaffen.

lindner@kpmg.com
dschroeren@kpmg.com

 

Aktuelle Beiträge