Wenn es um die wichtigsten Risiken für die Versicherungsbranche geht, sind sich Aufsicht und beaufsichtigte Versicherer weitgehend einig. Die Zinsentwicklung, die Inflation, der Krieg in der Ukraine, Cyberrisiken und allgemein die hohe Unsicherheit, was die Einschätzung der Risikosituation angeht – das sind derzeit die wesentlichen Unwägbarkeiten, mit denen die Branche umgehen muss.

Die Erwartungshaltung der Aufsicht an die Unternehmen angesichts dieser Risiken ist klar: Sie müssen die gesetzlich angelegten Prozesse, wie die regelmäßige Überprüfung der Geschäftsorganisation, in diesem schwierigen Umfeld nutzen, um die Geschäftsorganisation im Allgemeinen und das Risikomanagementsystem im Besonderen regelmäßig auf ihre Geeignetheit für die Geschäftsstrategie zu prüfen und auch eine Fundamentalanalyse durchzuführen. Gegebenenfalls müssen die Versicherer Anpassungen vornehmen, die sowohl das Risikomanagementsystem als auch die Geschäftsstrategie und den Risikoappetit betreffen können.

Dabei ist klar: Die Angemessenheit der Geschäftsorganisation sicherzustellen – und dazu gehört auch ein wirksames Risikomanagement – liegt in der nicht delegierbaren Verantwortung des Vorstands. Das gilt auch für Versicherungsgruppen. Bei ihnen obliegt diese Verantwortung der Geschäftsleitung des obersten Mutterunternehmens. Sie muss proaktiv die Geschäftsorganisation hinterfragen. Sich nur reaktiv mit Auffälligkeiten auseinanderzusetzen, das reicht nicht. Natürlich gilt in Bezug auf die Geschäftsorganisation das Prinzip der Organisationsfreiheit. Allerdings müssen Unternehmen die gesetzlichen Mindestanforderungen an die Geschäftsorganisation beachten. Außerdem muss diese für das gewählte Geschäftsmodell geeignet sein.

Versicherungsgruppen müssen ihr Risikomanagementsystem gruppenweit konsistent implementieren. Es muss alle Geschäftsaktivitäten umfassen, unabhängig davon, ob diese inner- oder außerhalb der EU liegen, und unabhängig davon, ob oder wie sie reguliert sind. Daneben ist es aus aufsichtlicher Sicht für ein wirksames Risikomanagement besonders wichtig, ein System einzurichten, das eine angemessene und zeitnahe Risikoberichterstattung der Tochtergesellschaften an das oberste Mutterunternehmen einschließlich dessen Vorstand sicherstellt. Auch der ORSA¹-Prozess, also der Prozess der unternehmenseigenen Risiko- und Solvabilitätsbeurteilung, ist in diesem Zusammenhang ein wesentliches Instrument eines guten Risikomanagements. Denn im Rahmen dieses Prozesses muss jede Unternehmensgruppe die regulatorische Risikobetrachtung um ihre eigene holistische Einschätzung der Risiken ergänzen.

Die BaFin wird in Zukunft einen besonderen Schwerpunkt auf die Angemessenheit des Risikomanagementsystems in Versicherungsgruppen und die zuvor skizzierten wesentlichen Elemente legen. Der Bewertungsmaßstab für die Angemessenheit und Wirksamkeit der Geschäftsorganisation einschließlich des Risikomanagementsystems werden die jeweiligen Geschäftsaktivitäten der Gruppe sein. Natürlich wird die Aufsicht dabei das Prinzip der Proportionalität berücksichtigen. Das heißt aber auch: Je umfänglicher und komplexer das Risikoprofil einer Gruppe ist, desto höher sind die Anforderungen an ihre Geschäftsorganisation.

Falls die BaFin gravierende Defizite feststellt, wird sie darauf hinwirken, diese zu beseitigen – und dabei den gesamten Instrumentenkasten des Versicherungsaufsichtsgesetzes nutzen. Dazu gehört beispielsweise der Erlass von Verwaltungsakten und deren Veröffentlichung sobald diese bestandskräftig geworden sind. Dabei wird die Aufsicht auch den Erlass von Kapitalaufschlägen wegen Mängeln in der Geschäftsorganisation prüfen. Selbstverständlich gilt dabei: Wurden die festgestellten Defizite behoben, nimmt die BaFin einen verhängten Kapitalaufschlag wieder zurück.

Fußnote: