Risikomanagement ist für die UNIQA Group ein wesentlicher Teil des Kerngeschäfts und aus diesem Grund ein wichtiger Bestandteil des Business-Prozesses. Der Schwerpunkt des Risikomanagements mit den Steuerungsstrukturen und definierten Prozessen liegt darin, dass die strategischen Ziele der UNIQA Group und ihrer Tochtergesellschaften erreicht und die Wahrscheinlichkeit eines „Nichterreichens“ minimiert werden.
Die Basis für einen einheitlichen Standard auf unterschiedlichen Unternehmensebenen stellt die Risikomanagementrichtlinie der UNIQA Group dar. Diese Richtlinie ist vom CRO und vom Vorstand verabschiedet und beschreibt die Mindestanforderungen hinsichtlich Organisationsstruktur und Prozessstruktur. Zudem wird hier auch der Rahmen für alle Risikomanagementprozesse der wichtigsten Risikokategorien festgelegt.
Zusätzlich zur Risikomanagementrichtlinie auf Gruppenebene wird eine solche auch auf Ebene der Tochtergesellschaften erstellt und verabschiedet. Die Risikomanagementrichtlinie auf Ebene der Tochtergesellschaften wurde vom Vorstand der UNIQA Tochtergesellschaften genehmigt und steht im Einklang mit der Risikomanagementrichtlinie der UNIQA Group.
Dabei soll sichergestellt werden, dass die für die UNIQA Group relevanten Risiken im Vorfeld identifiziert, bewertet und gegebenenfalls proaktiv Maßnahmen zum Risikotransfer oder zur Risikominimierung eingeleitet werden.
Um die Verankerung des Risikomanagements ins Tagesgeschäft sicherzustellen, ist eine intensive Vermittlung der Inhalte und des Nutzens nötig. Deswegen haben im Jahr 2012 sehr umfangreiche Informations- und Ausbildungsmaßnahmen stattgefunden, die auch 2013 fortgesetzt bzw. stakeholderbezogen erweitert werden.
2.1. Organisationsstruktur (Governance)
Im Kapitel 8. Risikomanagementziele für 2013 werden das im September 2012 beschlossene UNIQA-Governance-Modell sowie die Neuausrichtung der Compliance-Organisation beschrieben.
Die detaillierte Ausgestaltung der Risikomanagement-Prozess- und -Organisationsstruktur sind in der Risikomanagementrichtlinie der UNIQA Group festgelegt. Darin werden die Prinzipien des „Three lines of defense“-Konzepts und die klaren Unterscheidungen zwischen den einzelnen „lines of defense“ reflektiert.
First line of defense: Risikomanagement innerhalb der Geschäftstätigkeit
Die Verantwortlichen für die Geschäftstätigkeiten haben ein angemessenes Kontrollumfeld aufzubauen und zu leben, um die Risiken, die in Verbindung zum Geschäft (zu den Prozessen) stehen, zu identifizieren und zu überwachen.
Second line of defense: Aufsichtsfunktionen inklusive der Risikomanagementfunktionen
Die Risikomanagementfunktion und die Aufsichtsfunktionen wie zum Beispiel das Controlling müssen die Geschäftsaktivitäten überwachen, jedoch ohne in die operative Ausübung einzugreifen.
Third line of defense: Interne und externe Prüfung
Diese ermöglicht eine unabhängige Überprüfung der Gestaltung und Effektivität des gesamten internen Kontrollsystems, die das Risikomanagement und die Compliance umfasst – zum Beispiel: Interne Revision.
Die Organisationsstruktur und die wesentlichsten Prozessverantwortungen innerhalb der UNIQA Group sind im Folgenden dargestellt. In der Risikomanagementrichtlinie sind die Aufgaben und Pflichten der Funktionen genau beschrieben.
Der Vorstand der UNIQA Group ist verantwortlich für die Festlegung der geschäftspolitischen Ziele.
Auf Holding-Vorstandsebene ist das Ressort des Chief Risk Officers (CRO) eingeführt. Dadurch wird gewährleistet, dass das Thema Risikomanagement im Vorstand vertreten ist. Der CRO wird speziell für die Risikomanagementaufgaben durch die Bereiche Risikomanagement & Internes Kontrollsystem, Marktrisikomanagement und den Bereich Wertmanagement & Compliance in der Umsetzung und der Erfüllung dieser Aufgaben unterstützt.
Des Weiteren sind auch in den operativen Versicherungsgesellschaften auf Vorstandsebene die CRO-Funktionen und die Funktionen des Risikomanagers etabliert. Damit wird ein durchgängiges und einheitliches Risikomanagementsystem in der Gruppe aufgesetzt.
Ein zentrales Element in der Risikomanagementorganisation nehmen die Risikomanagementkomitees ein (siehe Holding-Komitees in der Gremialstruktur), die es sowohl auf Gruppenebene als auch in jeder UNIQA Gesellschaft gibt. Das Risikomanagementkomitee ist das Managementgremium für die Kontrolle und sowohl für die kurzfristige als auch langfristige Steuerung des Risikoprofils der UNIQA-Gesellschaften. Das Risikomanagementkomitee legt die Risikostrategie fest und überwacht und steuert die Einhaltung der Risikotragfähigkeit und Limits und nimmt somit eine zentrale Rolle im Steuerungsprozess des Risikomanagementsystems der UNIQA Group ein.
Der Aufsichtsrat der UNIQA Group wird in den Aufsichtsratssitzungen über die Risikoberichtserstattung umfassend informiert.
2.2. Risikomanagementprozess
Der Risikomanagementprozess in der UNIQA Group (UNIQA-ORSA-Prozess) liefert periodische Informationen zur konzernweiten Risikosituation von UNIQA und ermöglicht dem Topmanagement die Setzung regelnder Maßnahmen, um die langfristigen strategischen Ziele zu erreichen beziehungsweise beizubehalten.
Der Prozess konzentriert sich auf unternehmensrelevante Risiken und ist für folgende Risikokategorien definiert:
- Versicherungstechnisches Risiko (Schaden-/Unfall-, Kranken und Lebensversicherung)
- Marktrisiko/ALM-(Asset-Liability-Mismatch-)Risiko
- Kreditrisiko/Ausfallrisiko
- Liquiditätsrisiko
- Konzentrationsrisiko
- Strategisches Risiko
- Reputationsrisiko
- Operationelles Risiko
- Ansteckungsrisiko
Für diese Risikokategorien werden im Rahmen eines konzernweit standardisierten Risikomanagementprozesses die Risiken der UNIQA Group und ihrer Tochtergesellschaften regelmäßig identifiziert, bewertet und berichtet.
UNIQA Group – Risiko Management Prozess
Risikoidentifikation:
Die Risikoidentifikation ist die Ausgangsbasis des Risikomanagementprozesses, in der alle wesentlichen Risiken systematisch zu erfassen und möglichst detailliert zu beschreiben sind. Um eine möglichst vollständige Risikoidentifikation durchzuführen, werden parallel unterschiedliche Ansätze angewendet und alle Risikokategorien, Tochtergesellschaften, Prozesse und Systeme einbezogen.
Bewertung/Messung:
Die Risikokategorien Marktrisiko, die versicherungstechnischen Risiken, das Gegenparteienausfallsrisiko und das Konzentrationsrisiko werden im Rahmenwerk der UNIQA Group mittels quantitativer Verfahren auf Basis des Solvency-II-Standardansatzes bewertet. Des Weiteren werden für die Ergebnisse aus dem Standardansatz Risikotreiber identifiziert und analysiert, ob die Risikosituation angemessen reflektiert wird. (im Einklang mit ORSA.)
Alle anderen Risikokategorien werden durch eigene Gefahrenszenarien bewertet.
Szenarienanalyse im Rahmen des UNIQA Risikomanagements
Ein wesentliches Element des Risikomanagementprozesses ist die Ableitung und Entwicklung der Risikoszenarien, bezogen auf die wirtschaftliche, interne und externe Risikosituation der UNIQA Group.
Ein Szenario ist ein mögliches internes oder externes Ereignis, das einen kurzfristigen oder mittelfristigen Effekt auf das Konzernergebnis, die Solvenzposition oder die Nachhaltigkeit verursacht. Das Szenario wird hinsichtlich seiner Ausprägung (z.B. Eintritt der Zahlungsunfähigkeit Griechenlands) formuliert und nachfolgend bezüglich seiner finanziellen Wirkung auf die UNIQA Group bewertet. Des Weiteren wird die mögliche Eintrittswahrscheinlichkeit des Szenarios beobachtet.
Diese Szenarien werden von den Experten des UNIQA-Risikomanagementressorts entwickelt, bewertet und permanent beobachtet. Bei potenziellen Bedrohungen werden bereits im Vorfeld Risikomitigationsmaßnahmen entwickelt.
Limits und Frühwarnindikatoren:
Im Rahmen des Limit- und Frühwarnsystems werden in laufenden Abständen die Risikotragfähigkeit (die verfügbaren Eigenmittel auf IFRS-Basis, ökonomisches Eigenkapital) und das Kapitalerfordernis auf Basis der Risikosituation ermittelt und der Bedeckungsgrad abgeleitet. Werden kritische Bedeckungsgradschwellwerte erreicht, tritt ein genau definierter Prozess in Gang, der zur Zielsetzung hat, den Solvenzbedeckungsgrad wieder auf ein unkritisches Niveau zurückzuführen.
Berichterstattung:
Nach der detaillierten Risikoanalyse und Überwachung wird mindestens zweimal im Jahr für jede operative Gesellschaft sowie für die UNIQA Group ein Risikobericht erstellt. Der Risikobericht jeder einzelnen UNIQA Tochtergesellschaft und der UNIQA Group selbst hat dieselbe Struktur und gibt einen Überblick über die Hauptrisikoindikatoren wie Risikotragfähigkeit, Solvenzerfordernis und Risikoprofil.
Des Weiteren ist für die UNIQA Group und für alle Tochtergesellschaften eine Berichtsform vorhanden, die dem Management ein monatliches Update der größten Risiken zur Verfügung stellt.