BaFin - Navigation & Service

Erscheinung:12.11.2009 | Geschäftszeichen VA 46-I 2501-2009/0013 | Thema Risikomanagement Häufige Fragen zu den MaRisk VA

Hinweis: Die MaRisk VA wurde zum 1. Januar 2016 aufgehoben.

Nach der Veröffentlichung des Rundschreibens 3/2009 (VA) erreichten die BaFin verschiedene Fragen zur Auslegung der MaRisk VA. Diese Fragen aus der Praxis und die Antworten der BaFin sind in den Häufigen Fragen (FAQ) in allgemeiner Form zusammengestellt. Aus den ersten beiden Spalten der FAQ ist zu entnehmen, auf welche Absätze des Rundschreibens sich die Fragen beziehen.

Gliederung Abschnitt Frage Antwort
A

Das Rundschreiben setzt sich aus den Anforderungen (linke Spalte) und den Erläuterungen zu den Anforderungen (rechte Spalte) zusammen.

Was ist der Unterschied zwischen Anforderungen und Erläuterungen?

Sind die Spalten verbindlich?

Das Rundschreiben legt mit den Anforderungen in der linke Spalte den § 64a VAG für die BaFin verbindlich aus. Damit bindet sich die BaFin selbst und sorgt so für mehr Rechtssicherheit bei den beaufsichtigten Unternehmen. Auch die rechte Spalte ist, sofern es sich nicht um Beispiele handelt, für die BaFin verbindlich. Die Beispiele der rechten Spalte sollen dabei kleineren Unternehmen Hilfe und Anregung sein, wie die Anforderungen mit Leben erfüllt werden können.

A Was versteht man unter Proportionalität? Mit dem Rundschreiben konkretisiert die BaFin die Umsetzung der gesetzlichen Anforderungen. Ein Kerngedanke dabei ist der Grundsatz der Proportionalität. Dieser besagt, dass sich die Anforderungen nach den unternehmensindividuellen Risiken, nach Art und Umfang des Geschäftsbetriebes und Komplexität des gewählten Geschäftsmodells zu richten haben. Gewisse Unternehmen erhalten so Erleichterungen, da sie Mindestanforderungen vereinfacht einführen dürfen. Bei anderen Unternehmen führt dies aber auch dazu, dass bestimmte Lösungen nicht möglich sind, weil sie disproportional wären. Unternehmen müssen deshalb rechtfertigen können, dass die Mindestanforderungen proportional umgesetzt wurden. Andernfalls gelten die Anforderungen als nicht erfüllt.
1 1 Welche Bereiche könnten noch gemeint sein, wenn es heißt: "Einrichtungen der betrieblichen Altersversorgung brauchen solange, insbesondere bei der Umsetzung der im weiteren Rundschreiben folgenden Regelungen zu (…) anderen quantitativen Größen, nicht auf eine Zeitwertbilanzierung abzustellen.“? Dies bezieht sich hauptsächlich auf 7.3.1 (2) Risikotragfähigkeit und 7.2.2 (2) Reservierung.
2 1 Dem Anwendungsbereich kann ich keine Ausnahmevorschrift wie z.B. § 64a Abs. 5 VAG entnehmen. Gilt das Rundschreiben wirklich für alle Unternehmen? § 64a Abs. 5 VAG sieht lediglich bzgl. der Risikoberichterstattung und der Einrichtung einer Internen Revision für gewisse Unternehmen (bzw. auf Antrag) eine Ausnahme von den Anforderungen an eine ordnungsgemäße Geschäftsorganisation vor. Die restlichen Anforderungen an eine ordnungsgemäße Geschäftsorganisation und damit an ein angemessenes Risikomanagement müssen auch von diesen Unternehmen erfüllt werden. Eine Ausnahmeregelung im Rahmen der MaRisk VA ist nicht notwendig, da über den Grundsatz der Proportionalität die unternehmensindividuellen Besonderheiten Beachtung finden.
2 1 Finden auf eine Niederlassung eines Unternehmens aus einem Drittstaat (z.B. Schweiz, USA, Japan) der § 64a VAG und die MaRisk VA Anwendung?

Nach § 105 Abs. 3 VAG gelten für Drittstaatsunternehmen die besonderen Vorschriften der §§ 106 - 110 VAG sowie ergänzend die übrigen Vorschriften des VAG entsprechend.

§ 64a Abs.1 VAG schreibt einem Versicherungsunternehmen eine ordnungsgemäße Geschäftsorganisation auf Soloebene vor. Argumente, die gegen eine sinngemäße Anwendung des § 64a VAG auch auf die Niederlassungen sprechen, sind nicht ersichtlich.

3 1 Welche Berechtigung haben die Kapitalanlagerundschreiben neben den MaRisk VA? Sie gelten als „leges speciales“ gegenüber der „lex generalis“ der MaRisk VA.
3 1 Wie verhält sich eine Befreiung kraft Gesetzes nach § 64a Abs. 5 S. 1 VAG bzw. auf Antrag (S. 2) zu den Anforderungen des R 15/2005? Liegt darin nicht ein Widerspruch? Nein, es besteht kein Widerspruch, da eine Befreiung nach § 64a Abs. 5 VAG auf höherrangigem Recht beruht („Gesetz geht Rundschreiben vor“). Beispiel: Ist ein Unternehmen auf Grundlage des § 64a VAG oder auf Antrag von der Verpflichtung zur Einrichtung einer internen Revision befreit, so gilt die Befreiung auch für die Kapitalanlageanforderungen. Die Befreiung geht also hier der Verpflichtung aus dem R 15/2005 vor.
4 1 Welche Erleichterungen ergeben sich durch die Anwendungen des Grundsatzes der Proportionalität? Erleichterungen bestehen im Wesentlichen in der Flexibilität der Wahl der Mittel und Wege zur Erfüllung der prinzipienbasierten Anforderungen. Das bedeutet, dass die Geschäftsorganisation entsprechend des Wesens, des Umfangs und der Komplexität den Risiken angemessen ausgestaltet sein soll. Eng damit verknüpft ist darüber hinaus der Grundsatz der Materialität (Wesentlichkeitsschwelle).
5 1 Reicht es, sich auf wesentliche Risiken zu beschränken? Um die Wesentlichkeit zu beurteilen, verschafft sich die Geschäftsleitung einen Überblick über das Gesamtrisikoprofil des Unternehmens. Die wesentlichen Risiken bestimmen sich aus dem Ergebnis der unternehmensindividuellen Risikoidentifikation (7.3.2.1) sowie Risikoanalyse und ‑bewertung (7.3.2.2) und der unternehmensindividuellen Skalierung der Wesentlichkeit. Die Geschäftsleitung implementiert wirksame Kontroll- und Überwachungsmaßnahmen, die sicherstellen, dass keine wesentlichen Fehler auftreten, die zur Akzeptanz eines untragbaren Risikos durch das Unternehmen führen. Für Risiken, die als nicht wesentlich eingestuft werden, sind angemessene Vorkehrungen zu treffen.
5 2 Muss der Vorstand über alle Risiken informiert sein? Nein. Nur über „wesentliche“ Risiken. Die für Ihr Unternehmen wesentlichen Risiken ergeben sich aus dem Risikokontrollprozess und der unternehmensindividuellen Skalierung der Wesentlichkeit.
7.1 2 Es werden sehr konkrete Vorgaben zu Umfang und Mindestinhalt der Risikostrategie gemacht. Wie passen diese konkreten Vorgaben zu einer Geschäftsstrategie, die von ihrer Natur doch eher abstrakt ist? Wenn die Geschäftsstrategie abstrakt ist, dann kann auch die Risikostrategie nur abstrakt sein?

Selbst wenn die Geschäftsstrategie abstrakt ist, muss die Risikostrategie soweit heruntergebrochen werden, dass sie Orientierungs- bzw. Richtgröße für den Umgang mit den sich aus der Geschäftsstrategie ergebenden Risiken ist. Die Risikostrategie muss deswegen mindestens

· die Art (welche Risiken sollen überhaupt eingegangen werden?),

· die Risikotoleranz (welche Höhe des Risikos wird gewählt?),

· die Herkunft (woher stammt das Risiko?),

· den Zeithorizont der Risiken (welche Risiken in welcher Zeitperiode sollen mit der vorhandenen Risikodeckung bewältigt werden?) und

· die Risikotragfähigkeit

beinhalten.

7.2.1 3b Wie ist das Verhältnis der unabhängigen Risikocontrollingfunktion zu der Vorgabe im Rundschreiben R 15/2005 zu Anlagemanagement und Gesamtrisikomanagement? Wegen der großen Bedeutung der Kapitalanlagen bleibt es bei der Verpflichtung nach dem Rundschreiben R 15/2005, auf Vorstandsebene die Verantwortung für das Anlage- und Gesamtrisikomanagement des Unternehmens zu trennen. Dies enspricht auch dem Grundsatz der Funktionstrennung in den MaRisk VA. Der Begriff des Gesamtrisikomanagements nach R 15/2005 entspricht dem der unabhängigen Risikocontrollingfunktion in den MaRisk VA.
7.2.1 3b

Gibt es bei der Zuordnung der unabhängigen Risikocontrollingfunktion zu einem Vorstandsressort Restriktionen?

Grundsätzlich hat eine klare Funktionstrennung zwischen unvereinbaren Funktionen zu erfolgen. Als unvereinbare Funktionen bzw. Geschäftsbereiche gelten diejenigen, die für den Aufbau von zentralen Risikopositionen verantwortlich sind, mit denen, die mit deren Überwachung und Kontrolle betraut sind. Risikokategorien, bei denen aufgrund ihrer Natur immer von einer erforderlichen Funktionstrennung von der unabhängigen Risikocontrollingfunktion auszugehen ist, sind: Versicherungstechnische Risiken, Kapitalanlagerisiken und Vertriebsrisiken.

7.2.1 3b Bedeutet die unabhängige Risikocontrollingfunktion, dass verpflichtend ein CRO für jedes Unternehmen gefordert wird, der ausschließlich für Risikomanagement zuständig ist? Muss dieser im Vorstand sitzen?

Nein, die unabhängige Risikocontrollingfunktion ist eine administrative Funktion und kann nicht generell mit einer Linienposition wie einem CRO gleichgesetzt werden.

Sie muss nicht zwingend auf Ebene der Geschäftsleitung angesiedelt sein. Durch die Trennung unvereinbarer Funktionen bis auf Vorstandsebene wird die Stellung der unabhängigen Risikocontrollingfunktion jedoch organisatorisch abgesichert.

7.3.1 5 Wie sollen Limite im Risikotragfähigkeitskonzept beschaffen sein? Limite in diesem Sinne können z.B. auch Zeichnungsrichtlinien oder qualitative Begrenzungen sein. Das Unternehmen sollte plausibel darlegen können, dass es durch diese Limitierung die Risiken tragen kann.
7.3.4 Welche Anforderungen soll der Risikobericht erfüllen? Er ist das zentrale Dokument der Geschäftsleitung, der die Ergebnisse der ausgeführten internen Risikosteuerung meldet. Es sind wesentliche Aussagen, die die Geschäftsleitung für die Risikosteuerung benötigt, enthalten. Deswegen werden von Seiten der Aufsicht auch keine Muster oder Beispiele vorgegeben. Auch die Häufigkeit der Vorlage beim Vorstand kann (bis auf die gesetzliche Mindestfrequenz) aus den gleichen Gründen nicht von der Aufsicht konkretisiert werden.
7.3.4 Was ist bei der Vorlage der Risikoberichte zu beachten?

Risikoberichte sollten mit einem Begleitschreiben übersendet werden, das folgende Angaben enthält:

• Name und Registernummer des berichtenden Unternehmens. Bei Gruppenberichten der Name des führenden, d.h. an der Spitze einer Versicherungsgruppe stehenden Unternehmens.
• Wenn berichtspflichtige Versicherungsunternehmen in den Risikobericht einbezogen werden, § 55 c Abs. 2 VAG, jeweils
a) Name und
b) Registernummer
aller einbezogenen Gesellschaften.
• Die Angabe, ob eine Zusammenfassung des Risikoberichtes gemäß § 55c Abs. 3 VAG vorgelegt wird.
• Den Termin, zu dem die Vorlage des Risikoberichts bei der Geschäftsleitung erfolgte.
• Den Turnus in dem die Risikoberichte planmäßig erstellt werden.
• Den Ansprechpartner für Rückfragen (möglichst mit Angabe einer Durchwahl und E-Mail-Adresse).

7.3.4 Können die Risikoberichte auch in elektronischer Form eingereicht werden?

Die BaFin begrüßt die elektronische Vorlage der Risikoberichte. Dies kann wahlweise

1. über die Melde- und Veröffentlichungsplattform (MVP) oder

2. per E-Mail erfolgen.

Werden Risikoberichte in elektronischer Form vorgelegt, ist keine weitere Übersendung in Papierform erforderlich. Mit der MVP steht allen meldepflichtigen Unternehmen, die für das Verfahren Versicherungsaufsicht freigeschaltet sind, ein einfacher und vor allem sicherer Übertragungsweg zum elektronischen Datenaustausch offen. Einzelheiten zu den technischen Voraussetzungen sind auf der Homepage der BaFin unter Startseite>Unternehmen>Meldeplattform-MVP beschrieben. Risikoberichte, die mittels MVP übersandt werden, müssen die Dateibezeichnung RI_RegNr_JJJJ_MM_TT tragen. Das Begleitschreiben zum Risikobericht trägt als Dateibezeichnung RI_RegNr_JJJJ_MM_TT_Begleitschreiben. Das Datum der Dateibezeichnung ist mit dem Meldestichtag, auf den sich der vorgelegte Risikobericht bezieht, identisch (beispielsweise: bei einem Risikobericht für das 3. Quartal 2010 „RI_1234_2010_09_30.doc, pdf,…“ und für das Begleitschreiben „RI_1234_2010_09_30_Begleitschreiben.doc, pdf,…“). Über die MVP können beliebige Dateiformate übertragen werden.

Für die Übersendung von Risikoberichten per E-Mail hat die BaFin die zentrale E-Mail-Adresse RisikoberichteVA@bafin.de eingerichtet. Hierüber können Risikoberichte bis zu einer Dateigröße von 9 MB übersendet werden. Sofern einzelne Organisationseinheiten der BaFin den Risikobericht unmittelbar per E-Mail erhalten sollen, ist dieser gleichzeitig an die zentrale E-Mail-Adresse für die Übersendung von Risikoberichte zu senden. Dem per E-Mail übersandten Risikobericht soll entweder ein entsprechendes Begleitschreiben (s.o.) beigefügt werden oder die Informationen dieses Schreiben sollen in den Text der Übersendungsmail aufgenommen werden. Bitte versenden Sie keine eingescannten Dokumente, da diese erhebliche Speicherkapazitäten belegen.

7.4 3

Kann der Leiter der Abteilung Konzernrecht auch zugleich der (kommissarische) Leiter der internen Revision sein? Geplant ist, die Prüfung der Abteilung Konzernrecht extern zu vergeben.

Die Abteilung Konzernrecht kann auch indirekt von Prüfungen der internen Revision betroffen sein, wenn z.B. Verträge in anderen Abteilungen geprüft werden, die durch die Konzernrechtsabteilung verfasst oder abgenommen wurden.

Die MaRisk VA sehen eine unabhängige interne Revision vor, die ihre Aufgaben nach objektiven Kriterien erfüllt. Unabhängigkeit und Objektivität der internen Revision können durch die Wahrnehmung einer Doppelfunktion gefährdet bzw. beeinträchtigt sein.

Unter „Unabhängigkeit der internen Revision“ verstehen die MaRisk VA die Unabhängigkeit vom operativen Geschäft, die durch (1) Funktionstrennung, (2) personelle Unabhängigkeit und (3) Prozessunabhängigkeit erreicht wird.

Funktionstrennung bedeutet, dass die Aufgaben der internen Revision nicht mit anderen Aufgaben vermischt werden dürfen. In diesem Zusammenhang sind insbesondere Beratungsleistungen, die durch die interne Revision erbracht werden, kritisch zu würdigen.

Personelle Unabhängigkeit bedeutet, dass die interne Revision keinen Weisungen der geprüften Einheit unterliegen darf.

Prozessunabhängigkeit wiederum bedeutet, dass die interne Revision die zu prüfenden Prozesse nicht mitgestalten darf. Der potentielle Interessenkonflikt, der sich aus der Prüfung der eigenen Arbeit ergibt, soll durch diese Prozessunabhängigkeit vermieden werden, so dass die interne Revision objektiv ihre Aufgaben erfüllen kann.

Der Hintergrund für die Forderung nach Objektivität und Unabhängigkeit der internen Revision liegt darin, dass sich die Unternehmensleitung auf die Ergebnisse der Prüfung verlassen können muss. Dies setzt eine persönliche Unbefangenheit voraus, so dass die interne Revision auch in der Lage ist, die evtl. Betriebsblindheit eines operativen Unternehmensteils zu erkennen.

Das dauerhafte Bekleiden einer Doppelfunktion (sprich Leiter Konzernrechtsabteilung und zugleich Leiter der internen Revision) dürfte in den seltensten Fällen im Einklang mit den MaRisk VA stehen.

Aber auch bei einer nur vorübergehenden Übernahme einer Doppelfunktion bestehen, wenn nicht flankierende Maßnahmen ergriffen werden, Bedenken hinsichtlich der MaRisk Konformität. Denn bei der Wahrnehmung einer Doppelfunktion besteht zum einen die Gefahr, dass problematische Themenfelder von vornherein (d.h. Themenfelder, bei denen auch die Konzernrechtsabteilung involviert war) von der Prüfung ausgeklammert werden, da der Leiter der internen Revision für die Prüfungsplanung verantwortlich ist. Und zum anderen kann nicht ausgeschlossen werden, dass der Vorgesetze seinen Einfluss auf die Prüfer ausüben wird, den Prüfungsbericht doch „wohlwollender“ abzufassen, um den eigenen Bereich (sprich die Konzernrechtsabteilung) vor negativen Prüfungsfeststellungen zu schützen.

7.4 3

Muss der Revisionsbeauftragte zwingend ein Mitarbeiter oder Geschäftsleiter des ausgliedernden Unternehmens sein, oder kann er auch im Unternehmen angesiedelt sein, das mit der Durchführung der Aufgaben beauftragt worden ist?

Die MaRisk VA sehen das Vorhalten eines Revisionsbeauftragten im ausgliedernden Unternehmen vor.

Der Revisionsbeauftragte hat mehrere Aufgaben: (1) zum einen wird durch die Benennung eines solchen sichergestellt, dass ein gewisses Revisionsbasiswissen in dem ausgliedernden Unternehmen vorhanden bleibt und (2) zum anderen bestehen selbst im Fall einer vollständigen Ausgliederung der internen Revision weiterhin gewisse Revisionspflichten des ausgliedernden Unternehmens, um die ordnungsgemäße Durchführung der ausgegliederten internen Revision zu gewährleisten (z.B. Erstellung Prüfungsplanung, Erstellung Revisionsbericht an die Geschäftsleitung, Überprüfung der Beseitigung der festgestellten Mängel). Gerade der unter (1) beschriebene Sachverhalt kann bei einer Wahrnehmung des Revisionsbeauftragten durch das Unternehmen, auf das ausgegliedert wird, nicht gewährleistet werden. Des Weiteren ist die interne Revision Teil des Risikomanagements, das in der nicht delegierbaren Verantwortung der Geschäftsleitung liegt. Die Geschäftsleitung kann ihrer Aufgabe nicht mehr gerecht werden, wenn sie die interne Revision vollkommen aus dem Haus gibt.

7.4 3 Die interne Revision ist ein Instrument der Geschäftsleitung. Ist daran die Einrichtung einer unabhängigen, direkt der Geschäftsleitung unterstellten Stabsstelle geknüpft?

Die MaRisk VA sehen vor, dass grundsätzlich alle wesentlichen Aktivitäten und Prozesse einer prozessunabhängigen Kontrolle unterworfen sein müssen. Die Unabhängigkeit, die Funktionstrennung und das uneingeschränkte Informations- und Prüfungsrecht der Internen Revisionsfunktion sind dabei immer zu gewährleisten. Eine Stabstelle bietet die Voraussetzung, diese Vorgaben zu erfüllen. Aufgrund der Prinzipienorientierung der MaRisk VA wird die Organisationsform nicht vorgeschrieben.

8 1 Bis zum 01.01.2008 handelte es sich bei der Ausgliederung der internen Revision nicht um eine Funktionsausgliederung. Angenommen die interne Revision wäre ausgegliedert, ist dann jetzt der Altvertrag der Aufsicht vorzulegen oder ist der Dienstleistungsvertrag automatisch zum Funktionsausgliederungsvertrag mit Datum 01.01.2008 geworden? Bestehende Dienstleistungsverträge werden nicht automatisch zu Funktionsausgliederungsverträgen. Trotz der Gesetzesänderung bleibt der Dienstleistungsvertrag erst einmal als solcher bestehen. Der Rechtsstatus ändert sich also nicht. Werden jetzt Änderungen an diesen Dienstleistungsverträgen vorgenommen, muss der geänderte Vertrag vorlegt werden. Durch das Abändern (und Vorliegen der weiteren Voraussetzungen des § 5 Abs. 3 Nr. 4 VAG) wird der Dienstleistungsvertrag zum Funktionsausgliederungsvertrag.
9 Worauf sollte im Rahmen der Notfallplanung besonders geachtet werden? / Was ist das Ziel der Notfallplanung?

Ziel ist, die Widerstandsfähigkeit der eigenen Prozesse zu erhöhen, um auch nach kritischen Situationen und Notfällen die Fortführung des Geschäftsbetriebs zu gewährleisten. Dabei sind alle Aspekte zu berücksichtigen, die zur Fortführung der Geschäftsprozesse erforderlich sind. Dazu gehören sowohl konkrete Sofortmaßnahmen als auch die geordnete Rückkehr zum Normalbetrieb.

Wichtig ist dabei, dass die Planung auf die unternehmensspezifischen Belange des Unternehmens zugeschnitten wird. Eine Vorlage von z.B. allgemeinen Verbandsorganisationen zu diesem Thema erfüllt diese Anforderung sehr wahrscheinlich nicht und kann sicherlich nur als Ausgangspunkt zur Entwicklung eigener Konzepte dienen.

Fanden Sie den Beitrag hilfreich?

Wir freuen uns über Ihr Feedback

Es hilft uns, die Webseite kontinuierlich zu verbessern und aktuell zu halten. Bei Fragen, für deren Beantwortung wir Sie kontaktieren sollen, nutzen Sie bitte unser Kontaktformular. Hinweise auf tatsächliche oder mögliche Verstöße gegen aufsichtsrechtliche Vorschriften richten Sie bitte an unsere Hinweisgeberstelle.

Wir freuen uns über Ihr Feedback