BaFin

Thema Governance, Eigenmittel Vorbereitung auf Solvency II: Allgemeine Governance-Anforderungen

Datum: 30.05.2014

Governance-Anforderungen

Auf dieser Seite:

I. Anwendungsbereich

1 Diese Veröffentlichung richtet sich an alle inländischen Versicherungsunternehmen, die ab 1. Januar 2016 in den Anwendungsbereich der Solvency II-Richtlinie fallen (im Folgenden „Unternehmen“), sowie an alle Versicherungsgruppen, für welche die BaFin unter der Geltung der Richtlinie die für die Gruppenaufsicht zuständige Behörde sein wird.

2 Dies sind alle inländischen Erst- und Rückversicherungsunternehmen im Sinne des § 1 Abs. 1 Nr. 1 VAG, soweit sie nicht Sterbekassen im Sinne des Artikels 10 der Richtlinie oder Pensionskassen sind, nach Artikel 4 der Richtlinie von deren Anwendungsbereich ausgeschlossen sind oder als Rückversicherungsunternehmen ihre Tätigkeit nach Artikel 12 der Richtlinie eingestellt haben.

3 Außerdem sind dies alle Versicherungsgruppen, die ausschließlich aus inländischen Erst- und Rückversicherungsunternehmen bestehen, sowie Versicherungsgruppen mit Erst- oder Rückversicherungsunternehmen in anderen EWR-Staaten, für welche die BaFin nach den in Artikel 247 Abs. 2 der Richtlinie genannten Kriterien die für die Gruppenaufsicht zuständige Behörde sein wird.

II. Proportionalität

4 Bei der Umsetzung der allgemeinen Governance-Anforderungen spielt der Grundsatz der Proportionalität eine erhebliche Rolle. Die Anforderungen sind auf eine Weise zu erfüllen, die der Wesensart, dem Umfang und der Komplexität der mit der Geschäftstätigkeit des Unternehmens einhergehenden Risiken gerecht wird (Artikel 29 Abs. 3 Solvency II-Richtlinie). Der Proportionalitätsgrundsatz knüpft also an das individuelle Risikoprofil eines jeden Unternehmens an und verlangt daher eine Einzelfallbetrachtung. Die Einschätzung, welche Gestaltung als proportional anzusehen ist, ist auch in Bezug auf das einzelne Unternehmen nicht statisch, sondern passt sich im Zeitablauf den sich verändernden Gegebenheiten an. In diesem Sinne haben die Unternehmen zu prüfen, ob und wie die vorhandenen Strukturen und Prozesse weiter entwickelt werden können.

5 Proportionalität betrifft nicht die Frage, ob die geltenden Anforderungen zu erfüllen sind. Sie wirkt sich nur darauf aus, auf welche Art und Weise die Anforderungen erfüllt werden können.

6 In dieser Veröffentlichung wird noch näher auf das Thema der Proportionalität eingegangen, etwa im Zusammenhang mit den Schlüsselfunktionen (unter VII) und den Dokumentationsanforderungen für Entscheidungen der Geschäftsleitung (unter VI).

III. Aufbau- und Ablauforganisation − Leitlinie 4 Gov.

Allgemeines

7 Alle Unternehmen haben nach geltender Rechtslage und gemäß Artikel 41 Abs. 1 Unterabs. 2 Solvency II-Richtlinie unter anderem über eine angemessene und transparente Organisationsstruktur zu verfügen.

8 Dabei sind die Unternehmen auch zukünftig in der Ausgestaltung ihrer Aufbau- und Ablauforganisation grundsätzlich frei. Dies bedeutet, es ist den Unternehmen überlassen, im Rahmen der einzuhaltenden Solvency II-Anforderungen zu entscheiden, welche konkrete Organisationsstruktur für sie angemessen ist.

9 Sofern im Folgenden keine gruppenspezifischen Anmerkungen erfolgen, gelten die Anforderungen an die Aufbau- und Ablauforganisation auf Ebene der einzelnen Unternehmen gemäß Artikel 246 Abs. 1 Unterabs. 1 Solvency II-Richtlinie auf Gruppenebene entsprechend. Einige Besonderheiten in Bezug auf die Gruppenebene sind unter den Randnummern 37 ff. dargestellt.

10 In der Solvency II-Richtlinie und in den EIOPA-Leitlinien wird der Begriff Verwaltungs-, Management- oder Aufsichtsorgan (VMAO) verwendet. Im Zusammenhang mit der Leitlinie 4 Gov. wird darunter national die Geschäftsleitung verstanden.

Struktur der Aufbau- und Ablauforganisation

11 Die Unternehmen haben über eine angemessene Organisationsstruktur zu verfügen. Dies impliziert auch, dass die Unternehmen die Angemessenheit ihrer Aufbau- und Ablauforganisation bewerten. Bei dieser Bewertung müssen die Unternehmen vor allem die Wesensart, den Umfang und die Komplexität ihrer Geschäftstätigkeit sowie die daraus resultierenden unternehmensindividuellen Risiken berücksichtigen.

12 Aufbau- und Ablauforganisation unterstützen die Ziele der Geschäfts- und Risikostrategie (strategischen Ziele) und die Geschäftstätigkeit des Unternehmens. Insoweit könnte sich beispielsweise die Bedeutung der einzelnen Geschäftsaktivitäten im Zuschnitt von Geschäftsbereichen und Geschäftsleiterressorts sowie in der quantitativen und qualitativen Personalausstattung niederschlagen.

13 Damit Aufbau- und Ablauforganisation fortdauernd angemessen sind und die strategischen Ziele sowie die Geschäftstätigkeit des Unternehmens unterstützen können, sollten diese Strukturen bei Änderungen der strategischen Ziele, der Geschäftstätigkeit oder des Geschäftsumfelds des Unternehmens innerhalb eines angemessenen Zeitraums angepasst werden können und gegebenenfalls angepasst werden.

14 In diesem Zusammenhang ist es zweckmäßig, zum Beispiel bei Bestandsübertragungen, Änderungen der Gruppenstruktur oder dem Übergang in den Run-off mögliche Maßnahmen zur Anpassung der Aufbau- und Ablauforganisation bereits bei der Planung zu thematisieren.

Festlegung von Aufgaben, Verantwortlichkeiten und Berichtslinien

15 Eine angemessene transparente Aufbauorganisation erfordert eine klare Definition und Abgrenzung von Aufgaben und Verantwortlichkeiten. Es ist eindeutig zu regeln, wer im Unternehmen für die Aufgaben zuständig ist und für Entscheidungen verantwortlich zeichnet.

16 Grundsätzlich erscheint es bei der Abgrenzung der Zuständigkeiten auch sinnvoll, Schnittstellen explizit zu berücksichtigen und die Vertretung zu regeln.

17 Aufgaben und Verantwortlichkeiten sind aufeinander abzustimmen.

18 Neben den Aufgaben und Verantwortlichkeiten sind auch die Berichtslinien klar festzulegen. Dabei ist darauf zu achten, dass alle Personen im Unternehmen die sie betreffenden Informationen unverzüglich erhalten und ihre Bedeutung erkennen können.

Angemessene Trennung der Zuständigkeiten

19 Im Rahmen einer angemessenen Organisationsstruktur wird von den Unternehmen auch eine angemessene Trennung der Zuständigkeiten erwartet. Ziel ist es, potentielle Interessenkonflikte, denen Personen und Geschäftseinheiten bei der Bewältigung ihrer Aufgaben unterliegen können, zu vermeiden.

20 Vor allem sind potentielle Interessenkonflikte zwischen dem Aufbau wesentlicher Risikopositionen einerseits und deren Überwachung und Kontrolle andererseits zu vermeiden.

21 Zu den mit wesentlichen Risiken behafteten Geschäftsabläufen zählen zumindest das versicherungstechnische Geschäft einschließlich der Reservierung, das Kapitalanlagemanagement einschließlich des Asset-Liability-Managements, der Vertrieb und das passive Rückversicherungsmanagement.

22 Welche weiteren Geschäftsabläufe mit für das Unternehmen wesentlichen Risiken einhergehen, haben die Unternehmen anhand geeigneter Kriterien zu überprüfen. Hierfür ist es zweckmäßig, zunächst eine unternehmensindividuelle Wesentlichkeitsgrenze zu definieren.

23 In dieser Veröffentlichung werden die Begriffe „materielle Risiken“ und „wesentliche Risiken“ synonym verwendet, ebenso wie die Begriffe „Materialität“ und „Wesentlichkeit“. Zwar wird in der englischen Fassung der Solvency II-Richtlinie, der Vorbereitungsleitlinien und der Erläuterungen (etwa Randnummer 5.6 der Erläuterungen zu Leitlinie 4 Gov.) einheitlich auf „material risks“ abgestellt. Dieser Begriff wird aber teilweise mit „materielle Risiken“ (etwa Randnummer 1.6 der Erläuterungen zu Leitlinie 4 Gov.) und teilweise mit „wesentliche Risiken“ übersetzt, ohne dass hiermit ein inhaltlicher Unterschied verbunden sein soll.

24 Wichtig ist, dass Materialität und Wesentlichkeit in diesem Sinne über die Wesentlichkeit, wie sie im Abschnitt 5 der MaRisk (VA) beschrieben ist, hinausgehen. Dies haben die Unternehmen in der Vorbereitungsphase gegebenenfalls bei der Festlegung ihrer individuellen Risikogrenze zu beachten.

25 Im Hinblick auf eine gewissenhafte und ordnungsgemäße Geschäftstätigkeit sollte es auch im Eigeninteresse eines Unternehmens liegen, effektive Verfahren und Prozesse zu etablieren, um kontinuierlich potentielle Interessenkonflikte jedweder Art aufzudecken und ihnen durch eine angemessene Trennung der Zuständigkeiten zu begegnen.

Festlegung ablauforganisatorischer Regelungen

26 Die Ablauforganisation hat sicherzustellen, dass die mit materiellen Risiken einhergehenden Prozesse und deren Schnittstellen angemessen gesteuert und überwacht werden. Dies setzt zunächst voraus, dass eine unternehmensindividuelle Materialitätsgrenze festgelegt wird und alle Prozesse aus Risikosicht beurteilt werden.

27 Um eine angemessene Steuerung und Überwachung der identifizierten Prozesse zu gewährleisten, sollten vor allem die einzelnen Prozessschritte, einschließlich der erforderlichen Kontrollaktivitäten und gegebenenfalls Eskalationsschritte, die prozessspezifischen Zuständigkeiten und die Informationsflüsse klar festgelegt werden.

28 Dabei ist es im Hinblick auf die Kontrollaktivitäten in der Regel nicht erforderlich, nach jedem einzelnen Prozessschritt umfangreiche Kontrollen durchzuführen. Vielmehr kann es zunächst zweckmäßig sein, besonders risikobehaftete Prozessschritte zu identifizieren und zu kontrollieren.

29 Allerdings sollte im Rahmen eines soliden und vorsichtigen Managements unter anderem auf eine unternehmensweit angemessene sowie konsistente Anwendung von Risikomanagement- und internen Kontrollpraktiken geachtet werden.

30 Werden vom Unternehmen schriftliche Leitlinien erstellt, so sind auch die jeweiligen grundlegenden ablauforganisatorischen Regelungen in der zugehörigen Leitlinie festzuhalten (siehe unter den Randnummern 48 ff.). Umgekehrt sind bei der konkreten Ausgestaltung einzelner (Teil-)Prozesse die in den schriftlichen Leitlinien festgelegten unternehmensindividuellen Vorgaben zu berücksichtigen.

Umsetzung ablauforganisatorischer Regelungen

31 Für die ordnungsgemäße Erfüllung ihrer Aufgaben ist es wichtig, dass alle relevanten Mitarbeiterinnen und Mitarbeiter die sie betreffenden Arbeitsabläufe kennen, das heißt, diesbezüglich informiert und geschult sind.

32 Um die sorgfältige und gewissenhafte Aufgabenwahrnehmung weiter zu unterstützen, empfiehlt sich die Erstellung und Umsetzung eines Verhaltenskodex für das gesamte Personal, auch für die Geschäftsleitung, die Führungskräfte einschließlich der Verantwortlichen für Schlüsselaufgaben und gegebenenfalls den Aufsichtsrat. Unter Umständen empfehlen sich auch bereichsspezifische Verhaltenskodizes.

33 Erstellt ein Unternehmen Verhaltenskodizes, so erfordert ihre Umsetzung, dass die Adressaten mit den sie jeweils betreffenden Verhaltensnormen vertraut sind. Dies gilt für Verhaltensnormen, die in allgemeinen Kodizes enthalten sind, ebenso wie für Verhaltensnormen, die in bereichsspezifischen Kodizes enthalten sind.

34 Einen hohen Einfluss auf die sorgfältige und gewissenhafte Aufgabenwahrnehmung im Unternehmen hat auch das Verhalten der Geschäftsleitung und der Führungskräfte einschließlich der Verantwortlichen für Schlüsselaufgaben. Es ist von besonderer Bedeutung, dass die Geschäftsleitung und die Führungskräfte ein-schließlich der Verantwortlichen für Schlüsselaufgaben angemessene organisatorische Werte und Prioritäten vorgeben und in ihrer täglichen Arbeit umsetzen.

Dokumentation der Aufbau- und Ablauforganisation

35 Die Unternehmen haben ihre Aufbau- und Ablauforganisation für sachkundige Dritte nachvollziehbar zu dokumentieren.

36 Die Dokumentation ist zu pflegen und auf aktuellem Stand stets vorzuhalten. Vorgängerversionen sind mindestens sechs Jahre aufzubewahren. Die in § 257 Abs. 3 und 5 des Handelsgesetzbuches genannten Grundsätze sind zu beachten.

Spezielle Gruppenaspekte

37 Die BaFin erwartet von der Geschäftsleitung des für die Erfüllung der Governance-Anforderungen auf Gruppenebene zuständigen Unternehmens eine angemessene Kenntnis der internen Organisation der Gruppe, der Geschäftsmodelle der verschiedenen Unternehmen, der Verbindungen und Beziehungen zwischen ihnen und der aus der Gruppenstruktur resultierenden Risiken.

38 Bei einer Änderung der Gruppenstruktur können Anpassungen der Aufbau- und Ablauforganisation sowohl auf Gruppenebene als auch auf Ebene der Einzelunternehmen erforderlich sein. So könnte es beispielsweise notwendig sein, Zuständigkeiten und Berichtslinien neu festzulegen.

39 Die Verantwortung für Anpassungen der Aufbau- und Ablauforganisation auf Gruppenebene liegt bei der Geschäftsleitung des zuständigen Unternehmens im Sinne der Einleitung zu den Leitlinien Gov. (Randnummer 1.12).

40 Die Verantwortung für Anpassungen der Aufbau- und Ablauforganisation auf Ebene eines Einzelunternehmens liegt bei der Geschäftsleitung des betreffenden Unternehmens. Gegebenenfalls sind Vorgaben des für die Gruppe zuständigen Unternehmens zu beachten und unternehmensindividuell umzusetzen.

IV. Interne Überprüfung des Governance-Systems − Leitlinie 8 Gov.

41 Die Geschäftsleitung eines Unternehmens hat dafür zu sorgen, dass das Governance-System einer regelmäßigen internen Überprüfung unterliegt. Ziel der Überprüfung ist es, die Angemessenheit und Wirksamkeit des Governance-Systems beurteilen zu können.

42 Die Überprüfung ist von der durch die interne Revision durchzuführenden Bewertung, ob das interne Kontrollsystem und andere Bestandteile des Governance-Systems angemessen und wirksam sind (Artikel 47 Abs. 1 Unterabs. 2 Solvency II-Richtlinie), zu unterscheiden. Sie geht auch über die in Abschnitt 7.5 der MaRisk (VA) geforderte jährliche Überwachung der Funktionsfähigkeit der internen Kontrollen hinaus, weil diese nur einen Teil des Governance-Systems darstellen.

43 Als Grundlage für die interne Überprüfung können neben den von der internen Revision bei der Überprüfung des Governance-Systems gewonnenen Erkenntnissen besonders auch Informationen dienen, die die weiteren Schlüsselfunktionen (zum Begriff siehe unter Randnummer 111) bei der Durchführung ihrer Aufgaben erhalten. Dies gilt beispielsweise für die unabhängige Risikocontrollingfunktion (URCF). Dieser Begriff, der im VAG verwendet wird (§ 64a Abs. 7 Nr. 3 Buchst. b) Doppelbuchst. cc) und Buchst. c) Doppelbuchst. dd) VAG), und der in den Leitlinien Gov. verwendete Begriff „Risikomanagementfunktion“ sind synonym zu verstehen.

44 Im Regelfall ist eine jährliche Überprüfung ausreichend. Zusätzlich sollten außerordentliche Überprüfungen in Erwägung gezogen werden. Anlass dafür können unter anderem Bestandsübertragungen oder Umwandlungen sein. Bei derartigen Anlässen ist es wichtig sicherzustellen, dass die damit verbundenen Risiken adäquat im Governance-System berücksichtigt werden.

45 Wenn die Geschäftsleitung den Umfang und die Häufigkeit der internen Überprüfung des Governance-Systems festlegt, ist es auch sinnvoll, Kriterien zu bestimmen, nach denen eine außerordentliche Überprüfung stattfinden soll.

46 Umfang, Ergebnisse und Schlussfolgerungen der Überprüfung sind angemessen zu dokumentieren und an die Geschäftsleitung zu berichten. Es empfiehlt sich, dabei festzuhalten, welche Elemente des Governance-Systems schwerpunktmäßig mit welchem Ergebnis geprüft wurden und wie sich das Zusammenspiel der Elemente dargestellt hat. Die Berichte haben Änderungsempfehlungen zu enthalten, falls diese erforderlich sind.

47 Die Ergebnisse und die Änderungsempfehlungen sind von der Geschäftsleitung unter Einbeziehung sämtlicher Schlüsselfunktionen (zum Begriff siehe unter Randnummer 111) und gegebenenfalls der betroffenen Bereiche zu diskutieren. Etwaige Einwände und die schließlich von der Geschäftsleitung festgelegten Maßnahmen und Änderungen sind angemessen zu dokumentieren, damit ein konsequentes Follow-up und damit eine Verbesserung des Governance-Systems erfolgen kann.

V. Schriftliche Leitlinien − Leitlinie 9 Gov.

Allgemeines

48 In der Solvency II-Richtlinie und in den EIOPA-Leitlinien wird der Begriff Verwaltungs-, Management- oder Aufsichtsorgan (VMAO) verwendet. Im Zusammenhang mit der Leitlinie 9 Gov. wird darunter national die Geschäftsleitung verstanden.

49 Die Unternehmen sind bereits heute dazu angehalten, für die mit wesentlichen Risiken behafteten Geschäftsabläufe innerbetriebliche Leitlinien aufzustellen.

50 Diese innerbetrieblichen Leitlinien haben die rechtlichen, satzungsmäßigen und strategischen Grenzen der Geschäftstätigkeit sowie die organisatorischen Rahmenbedingungen zu berücksichtigen. Die Unternehmen sind somit unter anderem dazu angehalten, entsprechende Untersuchungen ihrer mit wesentlichen Risiken behafteten Geschäftsabläufe vorzunehmen, um wirksame innerbetriebliche Leitlinien aufstellen zu können.

51 Die Anforderungen an die unter Solvency II geforderten schriftlichen Leitlinien gehen in Teilen über die derzeitigen gesetzlichen Anforderungen an die innerbetrieblichen Leitlinien hinaus. Die bisher geltenden Regelungen bilden aber eine solide Grundlage, um die Bedingungen an die schriftlichen Leitlinien unter Solvency II erfüllen zu können. Soweit in dieser Veröffentlichung der Terminus „schriftliche Leitlinien“ verwendet wird, sind die unter Solvency II geforderten schriftlichen Leitlinien gemeint und nicht die derzeitig geforderten innerbetrieblichen Leitlinien.

52 Sofern im weiteren Verlauf zur Leitlinie 9 Gov. keine gruppenspezifischen Anmerkungen gemacht werden, gelten die Anforderungen entsprechend auch auf Gruppenebene.

Festlegung der Verantwortlichkeiten

53 Die Festlegung der Geschäfts- und Risikostrategie liegt in der nicht delegierbaren Gesamtverantwortung der Geschäftsleitung. Zur Unterstützung der Geschäftsstrategie hat die Geschäftsleitung den schriftlichen Leitlinien zumindest bei der Erstverabschiedung zuzustimmen.

54 Die BaFin geht darüber hinaus davon aus, dass schriftliche Leitlinien, welche auf Gruppenebene beschlossen wurden, nicht automatisch in den rechtlich selbstständigen Einzelunternehmen gelten. Dies gilt auch, wenn Beherrschungsverträge bestehen.

55 Grundsätzlich unterliegen alle Änderungen von schriftlichen Leitlinien der Zustimmung durch die Geschäftsleitung, es sei denn, Änderungen werden vom Unternehmen als geringfügig eingeordnet. Die Unternehmen sollten daher im Vorfeld festlegen, welche Änderungen in den schriftlichen Leitlinien als geringfügig einzuschätzen sind.

56 Damit die schriftlichen Leitlinien in der Praxis wirksam umgesetzt werden, haben sich entsprechende Prozesse und Arbeitsabläufe auf Basis dieser schriftlichen Leitlinien zu bilden. Die Unternehmen sollten festlegen, auf welcher Ebene die Verantwortung für die zu bildenden Prozesse und Arbeitsabläufe liegt. Hier muss in der Regel die Prozessverantwortung nicht zwingend bei der Geschäftsleitung liegen.

Inhalte der schriftlichen Leitlinien

57 Die schriftlichen Leitlinien sollen helfen, Handlungsvorgaben für alle relevanten Mitarbeiterinnen und Mitarbeiter zu geben.

58 Die folgenden (bis einschließlich Randnummer 75) Mindestanforderungen gelten zumindest für die schriftlichen Leitlinien zum Governance-System. Im Rahmen der Vorbereitungsphase können die Bereiche Risikomanagement, interne Kontrolle, interne Revision und gegebenenfalls Outsourcing vorrangig behandelt und etwaige Lücken in diesen Bereichen vorrangig geschlossen werden. Die anderen schriftlichen Leitlinien zum Governance-System, etwa zur versicherungsmathematischen Funktion, können danach erstellt werden.

59 Die schriftlichen Leitlinien müssen die mit ihnen verfolgten Ziele, Aufgaben und Verantwortlichkeiten der Geschäftsbereiche klar darstellen.

60 Um Aufgabenüberschneidungen zwischen Geschäftsbereichen zu vermeiden, sind in der Regel auch entsprechende Schnittstellen und Abgrenzungen in der jeweiligen schriftlichen Leitlinie anzugeben.

61 Damit die schriftlichen Leitlinien im Interesse des Unternehmens auch wirksam umgesetzt werden können, müssen in den einzelnen schriftlichen Leitlinien entsprechende Prozesse und Berichtsverfahren vorgegeben werden.

62 Die für die vier Schlüsselfunktionen (siehe unter den Randnummern 111 ff.) zu erstellenden schriftlichen Leitlinien stellen unter anderem die Befugnisse der Schlüsselfunktionen klar dar.

63 Die schriftlichen Leitlinien der jeweiligen Organisationseinheiten legen fest, welche Informationen für die vier Schlüsselfunktionen relevant sind und dass solche Informationen an die Schlüsselfunktionen zu übermitteln sind.

Abstimmungsprozess für schriftliche Leitlinien

64 Damit die Geschäftsstrategie wirksam umgesetzt werden kann, müssen zumindest alle zum Governance-System gehörenden schriftlichen Leitlinien mit der Geschäftsstrategie abgestimmt werden.

65 Außerdem fördert es die Umsetzung der Geschäftsstrategie, zumindest alle zum Governance-System gehörenden schriftlichen Leitlinien untereinander abzustimmen. Dabei geht die BaFin davon aus, dass nicht nur die inhaltliche Konsistenz geprüft wird, sondern unter anderem auch die Schnittstellenbeschreibung und die Verpflichtung zur Informationsweitergabe an die vier Schlüsselfunktionen.

66 Darüber hinaus kann es Geschäftsbereiche geben, die zwar selbst keinen schriftlichen Leitlinien unterliegen, aber prozessuale Verbindungen mit den zum Governance-System gehörenden Geschäftsbereichen haben, die schriftlichen Leitlinien unterliegen. Die BaFin geht davon aus, dass auch diese prozessualen Verbindungen bei der Abstimmung der schriftlichen Leitlinien untereinander berücksichtigt werden.

Überprüfung der schriftlichen Leitlinien

67 Alle schriftlichen Leitlinien müssen mit angemessenen Methoden vollständig überprüft werden.

68 Für die Überprüfung der schriftlichen Leitlinien sollten die auszuführenden Aufgaben und die zuständigen Personen oder Organisationseinheiten benannt werden.

69 Die Unternehmen sollten den Überprüfungsturnus der schriftlichen Leitlinien festlegen. Dabei sollte berücksichtigt werden, dass Änderungen einer schriftlichen Leitlinie oder der Geschäftsstrategie direkte Auswirkungen auf die anderen schriftlichen Leitlinien haben können. Die BaFin geht davon aus, dass zumindest die schriftlichen Leitlinien des Governance-Systems mindestens einmal jährlich über-prüft werden.

70 Die Überprüfungen der schriftlichen Leitlinien müssen angemessen dokumentiert werden. Es sollten die festgestellten Probleme und die sich daraus ergebenden Empfehlungen gegenüber der Geschäftsleitung dokumentiert werden.

71 Die Entscheidungen der Geschäftsleitung aufgrund der Überprüfung der schriftlichen Leitlinien sollten nachvollziehbar begründet und dokumentiert sein.

Kenntnis und Einhaltung schriftlicher Leitlinien

72 Die Geschäftsleitung hat im eigenen Interesse sicherzustellen, dass die Geschäftsbereiche entsprechend ihrer Aufgaben und Pflichten vorgehen. Dazu werden unter anderem schriftliche Leitlinien aufgestellt. Aus den schriftlichen Leitlinien sollten sich dementsprechend Arbeitsprozesse herausbilden, welche von den relevanten Mitarbeiterinnen und Mitarbeitern einzuhalten sind.

73 Die BaFin erwartet daher, dass die relevanten Mitarbeiterinnen und Mitarbeiter mit ihren Pflichten und Aufgaben aus den schriftlichen Leitlinien vertraut sind.

74 Den relevanten Mitarbeiterinnen und Mitarbeitern ist klar zu kommunizieren, für welche Geschäftsabläufe schriftliche Leitlinien existieren. Änderungen der schriftlichen Leitlinien sind den Betroffenen umgehend mitzuteilen.

75 Die Unternehmen sollten interne Kontrollen einführen, die sicherstellen, dass entsprechend den schriftlichen Leitlinien gehandelt und nicht dagegen verstoßen wird bzw. Verstöße zeitnah bekannt werden.

VI. Das Verwaltungs-, Management- oder Aufsichtsorgan – Leitlinien 3, 6 und 7

76 Die Leitlinien Gov. und die Solvency II-Richtlinie enthalten den Begriff des Verwaltungs-, Management- oder Aufsichtsorgans (VMAO). Diese allgemeine Beschreibung ist vor dem Hintergrund zu sehen, dass auf dem Versicherungsmarkt in der Europäischen Union Gesellschaften unterschiedlicher Herkunft tätig sind. Abhängig vom jeweiligen nationalen Gesellschaftsrecht und Kontext kann daher mit VMAO Verschiedenes gemeint sein.

77 Im Zusammenhang mit dem Governance-System ist mit dem VMAO national regelmäßig zunächst die Geschäftsleitung angesprochen.

78 Dies bedeutet aber nicht, dass das Governance-System für den Aufsichtsrat nicht von Bedeutung ist. Nach dem nationalen Aktienrecht hat der Aufsichtsrat bei Unternehmen mit dualistischer Struktur keine nur reaktive Funktion. Beispielsweise ist er es, der die Mitglieder des Vorstands bestellt, deren Vergütung beschließt und ihre Tätigkeiten überwacht. Bestimmte Arten von Geschäften dürfen nicht ohne die Zustimmung des Aufsichtsrats vorgenommen werden. Zur Erfüllung seiner Pflichten werden ihm gesetzlich Informations-, Einsichts- und Prüfungsrechte eingeräumt.

79 Im Folgenden wird jeweils deutlich gemacht, ob auch der Aufsichtsrat gemeint ist.

Rolle der Geschäftsleitung und des Aufsichtsrats

80 Leitlinie 3 Gov. besagt, dass Geschäftsleitung und Aufsichtsrat eines Unternehmens in angemessener Interaktion mit von ihnen eingesetzten Ausschüssen sowie mit den Führungskräften und Schlüsselaufgaben innerhalb des Unternehmens zu stehen haben. Den Mitgliedern beider Organe kommt also innerhalb des Governance-Systems eine besondere aktive Rolle zu.

81 Entsprechend der Leitlinie 3 Gov. erwartet die BaFin, dass Geschäftsleitung und Aufsichtsrat auch weiterhin von sich aus alle möglicherweise relevanten Informationen einfordern und bei Bedarf hinterfragen.

82 Die Unternehmen sind bereits aufgrund der geltenden rechtlichen Anforderungen verpflichtet, eine ordnungsgemäße Geschäftsorganisation, besonders ein angemessenes Risikomanagement, zu installieren. Dieses behält der Geschäftsleitung die für ihre Leitungsaufgaben nötige Entscheidungskompetenz vor und stellt die Umsetzung ihrer Entscheidungen sicher. Es umfasst regelmäßige und ad-hoc-Informationsrechte und -pflichten sowie entsprechende Beratungen. Für eine solche Interaktion sind die bereits nach geltendem Recht geforderten Prozesse zur Übermittlung von Informationen und Berichten aus allen Unternehmensbereichen an die Geschäftsleitung ebenso essentiell wie die Prozesse, die sicherstellen, dass die bearbeitenden Stellen über die getroffenen Entscheidungen informiert werden (sogenannte Gegenstromplanung).

83 Als Empfänger von Informationen kommen neben der Geschäftsleitung vor allem auch die Schlüsselaufgaben, der Aufsichtsrat oder etwaige Ausschüsse in Betracht.

Ausschussstruktur

84 Geschäftsleitung und Aufsichtsrat haben in eigener Verantwortung zu überlegen, ob eine – und falls ja welche – Ausschussstruktur für das Unternehmen geeignet ist.

85 Eine Verpflichtung zur Schaffung neuer Ausschüsse soll durch die Vorbereitungsleitlinien nicht etabliert werden.

86 In größeren Unternehmen mit komplexem Risikoprofil, bei denen Geschäftsleitung und/oder Aufsichtsrat ein größeres Gremium bilden, kann die Schaffung von Ausschüssen zur Beschlussvorbereitung und zur Entlastung der Sitzungen empfehlenswert sein. Beispiele hierfür sind die Bildung von Risiko-, Prüfungs-, Anlage- und/oder Vergütungsausschüssen. Für Unternehmen, die im Erst- und Rückversicherungsbereich tätig sind bzw. auch Holdingfunktionen haben, kann sich die Einrichtung eines Ausschusses für Angelegenheiten des Geschäftsfelds Rückversicherung anbieten. Dies wird in vielen Unternehmen bereits so praktiziert.

87 Werden mehrere Rechtsträger in einem Ausschuss durch eine Person vertreten, muss jedoch die Unterrichtung der jeweiligen Geschäftsleitungen gewährleistet sein, die die Letztverantwortung für das von ihnen geleitete Unternehmen tragen.

88 Die Geschäftsleitung kann die ihr im Governance-System zugewiesene Rolle nicht insgesamt auf einzelne Mitglieder oder einen Ausschuss oder anderweitig delegieren. Jede Geschäftsleiterin und jeder Geschäftsleiter muss – wenn auch nicht in der gleichen Detailtiefe – vor allem die Risiken verstehen, denen das Unternehmen ausgesetzt ist, sowie beurteilen und entscheiden, welche Ausgestaltung des Governance-Systems daher für das Unternehmen angemessen ist.

89 Eine Verlagerung der gesetzlich geregelten Verantwortung ist also nicht möglich: Die Geschäftsleitung ist und bleibt verantwortlich für die ordnungsgemäße Geschäftsorganisation, besonders für ein angemessenes Risikomanagement.

90 Nichts anderes gilt ausweislich des EIOPA Final Report zu der Konsultation Nr. 13/08 für die aufsichtsrechtliche Verantwortung der Geschäftsleitung eines gruppenzugehörigen Versicherungsunternehmens.

91 Auch Artikel 40 und 41 der Solvency II-Richtlinie sehen vor, dass die letztliche Verantwortlichkeit für die Einhaltung der gemäß dieser Richtlinie erlassenen Rechts- und Verwaltungsvorschriften durch das betreffende Unternehmen bei der Geschäftsleitung liegt. Hierzu gehört auch, dass ein solides und vorsichtiges Management des Geschäfts gewährleistet wird.

Gruppenebene

92 Auf Gruppenebene muss die Geschäftsleitung des zuständigen Unternehmens in angemessener Interaktion mit den Geschäftsleitungen aller Unternehmen innerhalb der Gruppe stehen (Leitlinie 3 Gov.). Dazu gehört, eigeninitiativ Informationen einzufordern und die Entscheidungen zu hinterfragen, die Auswirkungen auf die Gruppe haben können.

93 Sofern diese Anforderungen in einem Spannungsfeld mit den gesellschaftsrechtlichen oder kapitalmarktrechtlichen Möglichkeiten stehen, erwartet die BaFin, dass die zukünftig nach den Bestimmungen über die Gruppenaufsicht verpflichteten Unternehmen und die gruppenzugehörigen Versicherer sich dessen bewusst werden und im eigenen Interesse geeignete Maßnahmen ergreifen, um die Erfüllung aufsichtsrechtlicher Anforderungen sicherzustellen.

94 Es obliegt zunächst den Unternehmen selbst zu entscheiden, wie sie die Anforderungen erfüllen. Beispielsweise könnte auf Gruppenebene die Einrichtung eines Konzernausschusses, gegebenenfalls mit Fachgremien, erwogen werden. Falls kleinere Rechtsträger eines Konzerns nicht vertreten sind, müssen sie auf anderem Wege über für sie bedeutsame Maßnahmen informiert werden und gegebenenfalls ihre Zustimmung gesondert erteilen.

Vier-Augen-Prinzip

95 Nach der Leitlinie 6 Gov. hat das Unternehmen dafür Sorge zu tragen, dass die tatsächliche Leitung des Unternehmens durch mindestens zwei Personen erfolgt. Dies impliziert, dass an jeder wesentlichen Entscheidung des Unternehmens mindestens zwei Personen, die das Unternehmen tatsächlich leiten, beteiligt sind, bevor die betreffende Entscheidung umgesetzt wird.

96 Diese Vorgabe entspricht der Tradition des nationalen Gesellschafts- und Versicherungsaufsichtsrechts, das dem Vier-Augen-Prinzip auf Geschäftsleitungs-Ebene und auf den Ebenen darunter seit langem eine bedeutende Rolle beimisst (etwa §§ 34 Satz 1, 156 Abs. 1 VAG; Abschnitt B.2.2 Buchstabe k des Rundschreibens 4/2011 [VA] zu Front und Back Office).

97 Zum Begriff der das Unternehmen tatsächlich leitenden Personen wird auf die Veröffentlichung der BaFin zur Prüfung der fachlichen Eignung und Zuverlässigkeit verwiesen.

98 Den Unternehmen obliegt die erste Einschätzung, ob es andere Personen im Unternehmen gibt, die aufgrund ihrer Entscheidungsbefugnisse ebenfalls zu den tatsächlich leitenden Personen zu zählen sind. Dies kommt etwa bei der zweiten Führungsebene in Betracht.

99 Von einer Beteiligung von mindestens zwei das Unternehmen tatsächlich leitenden Personen ist regelmäßig auszugehen, wenn diese Beiden nach einer entsprechenden Diskussion auf Augenhöhe zu einem einvernehmlichen Ergebnis gelangt sind, auf dessen Basis die wesentliche Entscheidung getroffen wird. Ein bloßes “Durchwinken” einer vorgegebenen Entscheidung im Rahmen eines faktischen Hierarchieverhältnisses wird dagegen dem Vier-Augen-Prinzip nicht gerecht.

Wesentliche Entscheidungen

100 Nach den Erläuterungen zur Leitlinie 6 Gov. sind wesentliche Entscheidungen solche, die ungewöhnlich sind oder erhebliche Auswirkungen auf das Unternehmen haben werden oder haben könnten. Als Beispiele werden Entscheidungen genannt, die sich auf die Unternehmensstrategie, das Geschäftsgebaren oder die Reputation auswirken oder auswirken könnten. Gleiches gilt für Entscheidungen, die bedeutende finanzielle Folgen oder größere Auswirkungen für die Versicherten oder die Beschäftigten haben werden oder haben könnten.

101 Es obliegt der Geschäftsleitung, entsprechend den unternehmensindividuellen Gegebenheiten eigenverantwortlich festzulegen, welche Entscheidungen mit Blick auf das Geschäftsmodell und das Risikoprofil des Unternehmens als wesentlich einzustufen sind.

102 In der Praxis existieren regelmäßig schon heute Kataloge von als wesentlich angesehenen Themen und Geschäften, bei denen sich die Geschäftsleitung als Gesamtorgan die Entscheidungen vorbehält.

Dokumentation

103 Gemäß der Leitlinie 7 Gov. hat die Geschäftsleitung die von ihr getroffenen Entscheidungen sowie die Art und Weise, wie Informationen aus dem Risikomanagement berücksichtigt werden, in angemessener Weise zu dokumentieren (zur Proportionalität siehe Randnummern 108 bis 110).

104 Eine Dokumentation, aus der nichts zu Informationen oder Entscheidungsvorschlägen der URCF hervorgeht, ist regelmäßig als nicht angemessen anzusehen. Schweigt die Dokumentation bereits zu der Frage, ob die URCF in die Entscheidung der Geschäftsleitung einbezogen wurde, kann darüber hinaus vermutet werden, dass die URCF nicht eingebunden wurde. Falls die URCF ausnahmsweise, zum Beispiel wegen Dringlichkeit, nicht beteiligt werden konnte, sind die Gründe anzugeben und die Hintergründe darzulegen, aufgrund derer die Einbindung der URCF nicht erfolgen konnte. Ferner ist in einem solchen Fall zu dokumentieren, auf welchen anderen Wegen sich die Geschäftsleitung die bei ihrer Entscheidung berücksichtigten Informationen aus dem Risikomanagement beschafft hat.

105 Bei aus Risikosicht wichtigen Entscheidungen ist die bloße Mitteilung, dass die URCF eingebunden war, als Dokumentation nicht ausreichend.

106 Eine Dokumentation, aus der hervorgeht, dass den Empfehlungen der in die Entscheidung einbezogenen URCF nicht gefolgt wurde, kann grundsätzlich angemessen sein, sofern die Gründe für die Nichtberücksichtigung in der Dokumentation in nachvollziehbarer Art und Weise detailliert dargelegt werden.

107 Zusammenfassend ist wesentlich, dass die Entscheidung anhand eines von der Geschäftsleitung eigenverantwortlich installierten Prozesses erfolgt und sich nachvollziehen lässt. Die Dokumentation ist daher ausreichend, wenn sie so vollständig und exakt und mit den wesentlichen Hintergrundinformationen (z.B. Formeln, Parameter, Entscheidungen, deren wesentlichen Begründungen) angereichert ist, dass eine fachkundige Person die Entscheidung inhaltlich nachvollziehen und gegebenenfalls unter bestimmten Aspekten überprüfen kann.

108 Aus Proportionalitätsgründen kann nicht auf die Dokumentationsanforderungen als solche verzichtet werden.

109 Jedoch ist es nicht zwangsläufig erforderlich, insgesamt neue Unterlagen zu schaffen. Verweisungen auf vorhandene Unterlagen und deren Beifügung, gegebenenfalls verbunden mit ergänzenden Hinweisen, können genügen, solange und soweit die erforderliche Handhabbarkeit und Verständlichkeit im Sinne eines vollständigen Bildes gegeben ist.

110 Ein Mindestniveau der Ausgestaltung der Dokumentation kann nicht pauschal vorgegeben werden. Umfang und Detailtiefe der Dokumentation von Entscheidungen auf Geschäftsleitungs-Ebene sind vom Zweck der Dokumentation und vom Risikoprofil abhängig. Daher ist der Dokumentationsbedarf im Einzelfall aufgrund einer ganzheitlichen Betrachtung unter den Gesichtspunkten Selbstkontrolle und Nutzen festzulegen. Geht es um weniger komplexe und für das jeweilige Unternehmen relativ wenig relevante Risiken, kann die Darstellung in der Regel ohne Einbußen für die Nachvollziehbarkeit einfacher und kürzer ausfallen.

VII. Schlüsselfunktionen – Leitlinie 5 Gov.

Grundlagen

111 Im Sinne der Leitlinie 5 Gov. umfasst der Begriff der Schlüsselfunktion nur die folgenden vier Funktionen: interne Revisionsfunktion, Compliance-Funktion, URCF und versicherungsmathematische Funktion. Der Begriff der Schlüsselfunktion ist daher vom – weiteren − Begriff der Schlüsselaufgabe zu unterscheiden (siehe Veröffentlichung der BaFin zur Prüfung der fachlichen Eignung und Zuverlässigkeit).

112 An dieser Stelle geht es um übergeordnete, vornehmlich organisatorische Aspekte, die für alle Schlüsselfunktionen Bedeutung haben. In weiteren Veröffentlichungen wird die BaFin sich speziell zur internen Revisions- und Compliance-Funktion (Themenblock 6), zur URCF (Themenblock 3) und zur versicherungsmathematischen Funktion (Themenblock 7) äußern.

113 Die Unternehmen haben die Schlüsselfunktionen in angemessener Weise einzurichten (Leitlinie 5 Gov.). Dabei sind die Artikel 44, 46, 47 und 48 der Solvabilität II-Richtlinie zu beachten, in denen die Aufgaben dieser Funktionen und zum Teil auch deren Stellung im Unternehmen vorgegeben sind.

114 Entsprechendes gilt für die Gruppenebene. Das zuständige Unternehmen auf Gruppenebene hat die Schlüsselfunktionen ebenfalls in angemessener Weise einzurichten (Leitlinie 5 Gov.). Dabei ist neben den Artikeln 44, 46, 47 und 48 auch Artikel 246 der Solvabilität II-Richtlinie zu beachten.

115 Alle unter Solvabilität II fallenden Unternehmen müssen bis zum 1. Januar 2016 über die vier Schlüsselfunktionen verfügen. Die Solvabilität II-Richtlinie enthält keinerlei Ausnahmen für bestimmte Arten von Unternehmen; ebenso wenig ermächtigt sie die nationalen Aufsichtsbehörden, im Einzelfall Ausnahmen zu gewähren.

116 Im Vergleich zum geltenden § 64a VAG ist nur die versicherungsmathematische Funktion ganz neu. Die Schaffung einer internen Revision und einer unabhängigen Risikocontrollingfunktion ist bereits gesetzlich vorgeschrieben (§ 64a Abs. 1 Satz 4 Nr. 4, Abs. 7 Nr. 4 und Abs. 7 Nr. 3 Buchst. b) Doppelbuchst. cc), Buchst. c) Doppelbuchst. dd) VAG). In Sachen Compliance ist zu unterscheiden: Es gibt bisher zwar keine organisatorische Vorgabe, eine Compliance-Funktion einzurichten. Jedes Unternehmen muss aber schon jetzt „compliant“ sein, also alle auf seinen Geschäftsbetrieb anwendbaren Gesetze und sonstigen Vorgaben einhalten. Außerdem unterliegt die Geschäftsleitung der aus dem Aktiengesetz folgenden Legalitätspflicht.

117 Den Unternehmen steht es grundsätzlich frei, zunächst die Compliance-Funktion oder zunächst die versicherungsmathematische Funktion oder beide Funktionen gleichzeitig einzurichten. Wichtig ist, dass die Unternehmen sich bereits in der Vorbereitungsphase mit diesen organisatorischen Fragen beschäftigen und dann hierzu eine nachvollziehbare Entscheidung treffen.

Zielvorgabe statt konkrete Umsetzungsvorgabe

118 Leitlinie 5 Gov. enthält, ebenso wie die Artikel 44, 46, 47 und 48 der Solvabilität II-Richtlinie, eine Zielvorgabe: Die Schlüsselfunktionen sind auf angemessene Weise in der Aufbauorganisation des Unternehmens abzubilden.

119 Diese Zielvorgabe ist zu erfüllen. Dabei sind die Unternehmen grundsätzlich frei darin, wie sie die Schlüsselfunktionen organisieren; sie haben gleichermaßen das Recht und die Pflicht, insoweit die erste Einschätzung zu treffen, eigeninitiativ und individuell vorzugehen (Erwägungsgrund 31 Satz 2 Solvency II-Richtlinie). Dementsprechend enthalten die Solvency II-Richtlinie und die Leitlinie 5 Gov. keine organisatorischen Detailanforderungen.

120 Die Geschäftsleitung des Unternehmens, die letztlich für ein wirksames Governance-System verantwortlich ist (Artikel 40 und 41 Abs. 1 Solvency II-Richtlinie), muss mit den durch die Zielvorgabe eröffneten Umsetzungsspielräumen verantwortungsvoll umgehen.

121 Das Unternehmen muss seine Ersteinschätzung begründen können; die Aufsichtsbehörde kann diese in Frage stellen.

Zielvorgabe und Proportionalität

122 Die Schlüsselfunktionen müssen in „angemessener“ Weise eingerichtet werden. Bei der Anwendung dieses unbestimmten Rechtsbegriffes ist der Proportionalitätsgrundsatz zu beachten, der an das individuelle Risikoprofil eines jeden Unternehmens anknüpft und eine Einzelfallbetrachtung verlangt (siehe unter Randnummer 4).

123 Soweit die Größe eines Unternehmens im Rahmen der Einzelfallbetrachtung eine Rolle spielen kann, kommt es nicht auf die Mitarbeiteranzahl, sondern auf den Mitarbeiterbedarf an. Das heißt, auch Mitarbeiterkapazitäten, die sich das Unternehmen im Wege der Ausgliederung zu Nutze macht, sind in die Betrachtung einzubeziehen.

124 In der Praxis setzt sich die Einrichtung einer Schlüsselfunktion aus einer Mehrzahl von Entscheidungen zusammen. Alle notwendigen einzelnen Proportionalitätsbetrachtungen sollten daher von ihrem Ergebnis her mit einander in Einklang gebracht werden.

Denkbare Gestaltungsformen für Schlüsselfunktionen

125 Der Begriff „organisatorische Einheit“, wie er in Erwägungsgrund 32 der Solvency II-Richtlinie verwendet wird, umfasst die Abbildung einer Schlüsselfunktion durch eine Person oder eine Personenmehrheit. Die Formulierung „von einer Person oder einer organisatorischen Einheit“ könnte missverstanden werden, weil auch unipersonale organisatorische Einheiten denkbar sind.

126 Neben zentralen/stabsstellenartigen kommen auch dezentrale/integrierte Gestaltungsformen sowie – gruppenbezogene – Mischformen in Betracht. So kann es beispielsweise angemessen sein, die für eine Schlüsselfunktion notwendige Personenkapazität und das erforderliche Know-how aus verschiedenen organisatorischen Einheiten eines Unternehmens (etwa verschiedenen Abteilungen) zu generieren. Besonders durch die Zuordnung der funktionsspezifischen Aufgaben bilden diese Mitarbeiterinnen und Mitarbeiter dann die Schlüsselfunktion im Sinne einer eigenen organisatorischen Einheit.

127 Eine gruppenbezogene Mischform wäre beispielsweise die Abbildung einer Schlüsselfunktion über eine eigenständige Abteilung auf Ebene des Mutterunternehmens und eine integrierte Organisation auf Ebene des Tochterunternehmens.

Angemessene und transparente Organisationsstruktur (Artikel 41 Abs. 1 Unter-abs. 2 Solvency II-Richtlinie)

128 Entscheidend ist, welche Organisationsform in Bezug auf die risikoprofilbezogenen Eigenheiten eines Unternehmens den mit der regulatorischen Grundanforderung – etwa der Einrichtung der Compliance-Funktion – verbundenen Zweck angemessen erreicht. Auf die Abbildung einer Schlüsselfunktion im Wege des Outsourcing wird unter den Randnummern 139 ff. eingegangen.

129 Besonders bei integrierten Ansätzen zur Organisation einer Schlüsselfunktion kommt es auf eine eindeutige und transparente Aufgabendefinition und Aufgabenzuweisung an. Diese muss in schriftlichen Leitlinien festgehalten werden (siehe unter den Randnummern 48 ff.).

130 Potentielle Interessenkonflikte sind zu vermeiden. Die Schlüsselfunktionen müssen jederzeit frei von Einflüssen sein, die eine objektive, faire und unabhängige Aufgabenerfüllung verhindern.

Verantwortlicher Inhaber der Schlüsselfunktion

131 In allen – auch dezentralen – Gestaltungsformen muss es ungeachtet der nicht delegierbaren Letztverantwortung der Geschäftsleitung eine natürliche Person geben, die die operative Verantwortung dafür trägt, dass die jeweilige Schlüsselfunktion ihre Aufgaben ordnungsgemäß erfüllt („verantwortlicher Inhaber“ einer Schlüsselfunktion). Es ist nicht zulässig, diese operative Verantwortung ganz oder teilweise mehreren natürlichen Personen zuzuordnen. Personen, die für die Schlüsselfunktion tätig sind, ihr also zuarbeiten, kann es hingegen viele geben.

132 Auch bei der Bestimmung des verantwortlichen Inhabers einer Schlüsselfunktion kommt den Unternehmen eine Einschätzungsprärogative zu. Dabei sind die für den verantwortlichen Inhaber − wie auch für diejenigen, die für eine Schlüsselfunktion tätig sind − geltenden Qualifikationsanforderungen zu beachten (siehe Veröffentlichung der BaFin zur Prüfung der fachlichen Eignung und Zuverlässigkeit).

133 Unter Proportionalitätsgesichtspunkten kann es angemessen sein, eine Geschäftsleiterin oder einen Geschäftsleiter zum verantwortlichen Inhaber einer Schlüsselfunktion zu bestimmen. Grenzen können sich insoweit jedoch aus den sonstigen Zuständigkeiten als Geschäftsleiterin oder Geschäftsleiter ergeben. Außerdem empfiehlt es sich, vorab die Zustimmung des Aufsichtsrates einzuholen.

Anbindung der Schlüsselfunktionen an die Geschäftsleitung

134 Im Modell der „Three Lines of Defense“ bildet die interne Revisionsfunktion die dritte Verteidigungslinie, die anderen Schlüsselfunktionen gehören zur zweiten Verteidigungslinie. Unabhängig von dieser Einordnung stehen die Schlüsselfunktionen unter Solvency II gleichrangig und gleichberechtigt nebeneinander, ohne untereinander weisungsbefugt zu sein. Die Geschäftsleitung bildet die Eskalationsinstanz im Falle von Kontroversen zwischen den Schlüsselfunktionen.

135 Alle Schlüsselfunktionen müssen direkt und unmittelbar an die – letztverantwortliche − Geschäftsleitung berichten. Spiegelbildlich hierzu muss die Geschäftsleitung eigeninitiativ und angemessen mit den Schlüsselfunktionen interagieren (siehe unter Randnummer 80).

Informationsfluss und Stellung im Unternehmen

136 Die Schlüsselfunktionen können nur so gut arbeiten wie ihr Informationsstand ist. Der verantwortliche Inhaber einer Schlüsselfunktion wie auch diejenigen, die für die Schlüsselfunktion tätig sind, müssen in der Lage sein, eigeninitiativ mit allen relevanten Mitarbeiterinnen und Mitarbeitern zu kommunizieren.

137 Sie benötigen uneingeschränkten Zugang zu den für die Erfüllung ihrer Aufgabe relevanten Informationen und müssen über die relevanten Sachverhalte zeitnah, gegebenenfalls ad hoc, informiert werden.

138 Neben angemessenen Ressourcen und Befugnissen bedarf es einer hervorgehobenen Stellung der Schlüsselfunktionen innerhalb des Unternehmens, die nicht allein durch schriftliche Leitlinien erzeugt werden kann, sondern eine entsprechende Unternehmenskultur bedingt. Der „Tone at the Top“ hat hier erhebliche Bedeutung.

Outsourcing von Schlüsselfunktionen

139 Die BaFin wird das Outsourcing (Themenblock 8) in einer eigenen Veröffentlichung behandeln. In Bezug auf die Schlüsselfunktionen werden einige organisatorische Aspekte aber bereits an dieser Stelle aufgegriffen.

140 Im Prinzip ist bei jedem Unternehmen eine Ausgliederung aller vier Schlüsselfunktionen möglich.

141 Im Falle des Outsourcing muss das Unternehmen einen Ausgliederungsbeauftragten installieren. Der bereits bekannte Revisionsbeauftragte (§ 64a Abs. 7 Nr. 4 VAG) ist eine solche Person. Unbeschadet der nicht delegierbaren Letztverantwortung der Geschäftsleitung für jede Ausgliederung, trägt der Beauftragte die Verantwortung dafür, dass das Outsourcing ordnungsgemäß verläuft. Er muss die Leistung des Dienstleisters beurteilen und hinterfragen.

142 Leitlinie 14 Gov. spricht bezüglich des Ausgliederungsbeauftragen von einer „Person innerhalb des Unternehmens“. Die BaFin hält derzeit eine weite Auslegung dieser Beschreibung für vertretbar. Es kann daher zulässig sein, diese Aufgabe auf eine Person zu übertragen, die bei einem anderen Unternehmen derselben Gruppe angestellt ist, wenn diese Person in Bezug auf ihre Funktion als Ausgliederungsbeauftragter den Weisungen der Geschäftsleitung des ausgliedernden Unternehmens unterliegt. Außerdem müssen gegebenenfalls Maßnahmen zur Vermeidung potentieller Interessenkonflikte ergriffen werden.

143 Im Hinblick auf die Gefahr von Interessenkonflikten werden Konstellationen, die eine Personenidentität der involvierten Vorstände aufweisen, von der BaFin kritisch gesehen. Generell nicht zulässig ist, dass der Ausgliederungsbeauftragte bei dem Gruppenunternehmen angestellt ist, auf das die Schlüsselfunktion ausgegliedert wurde. Beispiel: Der Revisionsbeauftragte ist bei dem Gruppenunternehmen angestellt, auf das die interne Revision ausgegliedert wurde. Dann ist der Revisionsbeauftragte disziplinarisch auch der Geschäftsleitung des Unternehmens unterstellt, dessen Dienstleistungen er zu überwachen hat.

144 Zu den Qualifikationsanforderungen an Ausgliederungsbeauftrage sowie die Personen, die auf Seiten des Dienstleisters verantwortliche Inhaber oder für die Schlüsselfunktion tätig sind, hat sich die BaFin bereits in der Veröffentlichung zur Prüfung der fachlichen Eignung und Zuverlässigkeit geäußert.

VIII. Notfallpläne – Leitlinie 10 Gov.

145 Die Notfallplanung soll die Widerstandsfähigkeit von Bereichen und Prozessen im Unternehmen erhöhen, um in möglichen Krisensituationen die Fortführung der Geschäftstätigkeit durch im Vorfeld definierte Verfahren zu gewährleisten.

146 Alle Unternehmen haben sich mit einer Notfallplanung auseinanderzusetzen.

147 Verantwortlich für die Notfallplanung ist die Geschäftsleitung. Die Verantwortung kann nicht delegiert werden.

148 Notfallpläne sind mindestens für diejenigen Bereiche und Prozesse zu erstellen, bei denen der Eintritt einer unvorhergesehenen Störung die Fortführung der Geschäftstätigkeit gefährden könnte. Die ausgegliederten Bereiche und Prozesse sind in die Notfallplanung einzubeziehen.

149 Die den Notfallplänen zugrundeliegenden Notfallszenarien haben dem individuellen Risikoprofil hinreichend Rechnung zu tragen.

150 Sowohl die Notfallplanung als auch die Bewältigung eines Notfalles müssen angemessen in die Strukturen und Prozesse der Aufbau- und Ablauforganisation eingebunden sein. Vor allem sind die Aufgaben, Verantwortlichkeiten, Informationspflichten und Eskalationsprozesse klar und nachvollziehbar festzulegen und zu dokumentieren.

151 Der betroffene Personenkreis muss die Notfallplanung kennen. Die Notfallpläne sollten auch im Notfall jederzeit verfügbar sein.

152 Die Wirksamkeit und Angemessenheit der Notfallpläne sind fortlaufend sicherzustellen. Hierzu sind in regelmäßigen Abständen auch geeignete Überprüfungen, etwa Testläufe und Übungen, durchzuführen. Die Häufigkeit und der Umfang der Überprüfungen haben sich an der Maßgeblichkeit der jeweiligen Bereiche und Prozesse zu orientieren.

Zusatzinformationen