2. Risikomanagement­system


Der Schwerpunkt des Risikomanagements mit den Steuerungsstrukturen und definierten Prozessen liegt darin, dass die strategischen Ziele der UNIQA Group und ihrer Tochtergesellschaften erreicht werden.

Die Basis für einen einheitlichen Standard auf unterschiedlichen Unternehmensebenen stellt die Risikomanagementrichtlinie der UNIQA Group dar. Diese Richtlinie ist von Group CRO und Vorstand verabschiedet und beschreibt die Mindestanforderungen in Bezug auf Organisationsstruktur und Prozessstruktur. Zudem wird hier auch der Rahmen für alle Risikomanagementprozesse der wichtigsten Risikokategorien festgelegt.

Zusätzlich zur Risikomanagementrichtlinie auf Gruppenebene wird eine solche auch auf Ebene der Tochtergesellschaften erstellt und verabschiedet. Die Risikomanagementrichtlinie auf Ebene der Tochtergesellschaften wurde vom Vorstand der UNIQA Tochtergesellschaften genehmigt und steht im Einklang mit der Risikomanagementrichtlinie der UNIQA Group.

Dabei soll sichergestellt werden, dass die für die UNIQA Group relevanten Risiken im Vorfeld identifiziert, bewertet und gegebenenfalls proaktiv Maßnahmen zum Risikotransfer oder zur Risikominimierung eingeleitet werden.

Um die Verankerung des Risikomanagements ins Tagesgeschäft sicherzustellen, ist eine intensive Vermittlung der Inhalte und des Nutzens nötig. Deswegen haben seit 2012 sehr umfangreiche Informations- und Ausbildungsmaßnahmen stattgefunden, die auch 2014 fortgesetzt bzw. zielgruppenbezogen erweitert werden.

2.1. Organisationsstruktur (Governance)

Die detaillierte Ausgestaltung der Risikomanagement-Prozess- und -Organisationsstruktur ist in der Risikomanagementrichtlinie der UNIQA Group festgelegt. Darin werden die Prinzipien des „Three lines of defense“-Konzepts und die klaren Unterscheidungen zwischen den einzelnen „lines of defense“ reflektiert.

First line of defense: Risikomanagement innerhalb der Geschäftstätigkeit

Die Verantwortlichen für die Geschäftstätigkeiten haben ein angemessenes Kontrollumfeld aufzubauen und zu leben, um die Risiken, die in Verbindung zum Geschäft und zu den Prozessen stehen, zu identifizieren und zu überwachen.

Second line of defense: Aufsichtsfunktionen inklusive der Risikomanagementfunktionen

Die Risikomanagementfunktion und die Aufsichtsfunktionen wie zum Beispiel das Controlling müssen die Geschäftsaktivitäten überwachen, jedoch ohne in die operative Ausübung einzugreifen.

Third line of defense: Interne und externe Prüfung

Diese ermöglicht eine unabhängige Überprüfung der Gestaltung und Effektivität des gesamten internen Kontrollsystems, die das Risikomanagement und die Compliance umfasst – zum Beispiel: Interne Revision.

Die Organisationsstruktur und die wesentlichsten Prozessverantwortungen innerhalb der UNIQA Group sind im Folgenden dargestellt. In der Risikomanagementrichtlinie sind die Aufgaben und Pflichten der Funktionen genau beschrieben.

Der Vorstand der UNIQA Group ist verantwortlich für die Festlegung der geschäftspolitischen Ziele.

Auf Holding-Vorstandsebene besteht die Funktion des Chief Risk Officers (CRO) mit eigenem Ressort. Dadurch wird gewährleistet, dass das Thema Risikomanagement im Vorstand vertreten ist. Der CRO wird speziell für die Risikomanagementaufgaben durch die Bereiche Risikomanagement & Internes Kontrollsystem, Marktrisikomanagement und den Bereich Wertmanagement & Compliance in der Umsetzung und der Erfüllung dieser Aufgaben unterstützt.

Weiters sind auch in den operativen Versicherungsgesellschaften auf Vorstandsebene die CRO-Funktionen und die Funktionen des Risikomanagers etabliert. Damit wird ein durchgängiges und einheitliches Risikomanagementsystem in der Gruppe aufgesetzt.

Ein zentrales Element in der Risikomanagementorganisation nehmen die Risikomanagementkomitees ein, die es sowohl auf Gruppenebene als auch in jeder UNIQA Gesellschaft gibt. Das Risikomanagementkomitee ist das Managementgremium für die Kontrolle und sowohl für die kurzfristige als auch die langfristige Steuerung des Risikoprofils der UNIQA Gesellschaften. Das Risikomanagementkomitee legt die Risikostrategie fest, überwacht und steuert die Einhaltung der Risikotragfähigkeit sowie -limits und nimmt somit eine zentrale Rolle im Steuerungsprozess des Risikomanagementsystems der UNIQA Group ein.

Der Aufsichtsrat der UNIQA Group wird in den Aufsichtsratssitzungen über die Risikoberichterstattung umfassend informiert.

2.2. Risikomanagementprozess

Der Risikomanagementprozess der UNIQA Group (UNIQA ORSA-Prozess) liefert periodische Informationen zum Risikoprofil und ermöglicht dem Topmanagement, die richtigen Entscheidungen zur langfristigen Zielerreichung zu treffen.

Der Prozess konzentriert sich auf unternehmensrelevante Risiken und ist für folgende Risikokategorien definiert:

  • Versicherungstechnisches Risiko (Schaden- und Unfall-, Kranken- und Lebensversicherung)
  • Marktrisiko/ALM-(Asset-Liability-Management)Risiko
  • Kreditrisiko/Ausfallrisiko
  • Liquiditätsrisiko
  • Konzentrationsrisiko
  • Strategisches Risiko
  • Reputationsrisiko
  • Operationelles Risiko
  • Ansteckungsrisiko (Contagion risk)

Für diese Risikokategorien werden im Rahmen eines konzernweit standardisierten Risikomanagementprozesses die Risiken der UNIQA Group und ihrer Tochtergesellschaften regelmäßig identifiziert, bewertet und berichtet.

Risikomanagementprozess der UNIQA Group

UNIQA Group – Risikomanagementprozess (Grafik)

Risikoidentifikation:

Die Risikoidentifikation ist die Ausgangsbasis des Risikomanagementprozesses, in der alle wesentlichen Risiken systematisch zu erfassen und möglichst detailliert zu beschreiben sind. Um eine möglichst vollständige Risikoidentifikation durchzuführen, werden parallel unterschiedliche Ansätze angewendet und alle Risikokategorien, Tochtergesellschaften, Prozesse und Systeme einbezogen.

Bewertung/Messung:

Die Risikokategorie Marktrisiko, die versicherungstechnischen Risiken, das Gegenparteienausfallrisiko und das Konzentrationsrisiko werden im Rahmenwerk der UNIQA Group mittels quantitativer Verfahren auf Basis des Solvency II Standardansatzes und des ECM („Economic Capital Model“-) Ansatzes bewertet. Weiters werden für die Ergebnisse aus dem Standardansatz Risikotreiber identifiziert und es wird analysiert, ob die Risikosituation angemessen reflektiert wird (im Einklang mit ORSA).

Alle anderen Risikokategorien werden durch eigene Gefahrenszenarien bewertet.

Szenarienanalyse im Rahmen des UNIQA Risikomanagements:

Ein wesentliches Element des Risikomanagementprozesses ist die Ableitung und Entwicklung der Risikoszenarien, bezogen auf die wirtschaftliche, interne und externe Risikosituation der UNIQA Group.

Ein Szenario ist ein mögliches internes oder externes Ereignis, das einen kurzfristigen oder mittelfristigen Effekt auf das Konzernergebnis, die Solvenzposition oder die Nachhaltigkeit verursacht. Das Szenario wird in Bezug auf seiner Ausprägung (z.B. Eintritt der Zahlungsunfähigkeit Griechenlands) formuliert und nachfolgend bezüglich seiner finanziellen Wirkung auf die UNIQA Group bewertet. Weiters wird die mögliche Eintrittswahrscheinlichkeit des Szenarios beobachtet.

Diese Szenarien werden von den Experten des UNIQA Risikomanagementressorts entwickelt, bewertet und permanent beobachtet. Bei potenziellen Bedrohungen werden bereits im Vorfeld Risikomitigationsmaßnahmen gesetzt.

Limits und Frühwarnindikatoren:

Im Rahmen des Limit- und Frühwarnsystems werden in laufenden Abständen die Risikotragfähigkeit (die verfügbaren Eigenmittel auf IFRS-Basis, ökonomisches Eigenkapital) und das Kapitalerfordernis auf Basis der Risikosituation ermittelt und der Bedeckungsgrad abgeleitet. Werden kritische Bedeckungsgradschwellwerte erreicht, wird ein genau definierter Prozess in Gang gesetzt, der zur Zielsetzung hat, den Solvenzbedeckungsgrad wieder auf ein unkritisches Niveau zurückzuführen.

Berichterstattung:

Nach der detaillierten Risikoanalyse und Überwachung wird mindestens zweimal im Jahr für jede operative Gesellschaft sowie für die UNIQA Group ein Risikobericht erstellt. Der Risikobericht jeder einzelnen UNIQA Tochtergesellschaft und der UNIQA Group selbst hat dieselbe Struktur und gibt einen Überblick über die Hauptrisikoindikatoren wie Risikotragfähigkeit, Solvenzerfordernis und Risikoprofil.

Weiters ist für die UNIQA Group und für alle Tochtergesellschaften eine Berichtsform vorhanden, die dem Management ein monatliches Update der größten Risiken zur Verfügung stellt.

2.3. Aktivitäten und Ziele aus dem Jahr 2013
ORSA-(“Own Risk and Solvency Assessment”-) Entwicklung

Die Interims Guideline FLAOR (Forward Looking Assessment of Own Risk) wird in allen EU-Ländern mit dem Jahr 2014 implementiert und führt den ORSA-Prozess in den Versicherungsunternehmen der Europäischen Union ein. In Österreich wird diese Interims-Guideline in das Versicherungsaufsichtsgesetz (VAG) durch eine Novellierung (voraussichtlich 1. Juli 2014) übernommen und ist somit rechtlich bindend.

Im Rahmen des ORSA-Prozesses findet die Verknüpfung des Geschäftsstrategieprozesses mit dem Risikomanagementprozess und dem Kapitalmanagementprozess statt.

Wesentliche Bestandteile des ORSA-Prozesses sind:

  • eine Abschätzung der Entwicklung der ökonomischen Eigenmittel und des Solvenzerfordernisses, abgeleitet aus der Unternehmensstrategie,
  • eine valide Bewertung der Risikosituation der UNIQA Group und ihrer Unternehmen sowie
  • Stresstests und Szenarienrechnungen.

Die UNIQA Group hat im Jahr 2013 das entsprechende Prozessmodell und die nötigen Werkzeuge entwickelt, die im Jahr 2014 in die Konzerntöchter ausgerollt werden. Die Prozesse sind in der UNIQA Group ORSA Policy beschrieben.

Ein wesentlicher Aspekt bei der Konzeption war es, auf bestehende Prozesselementen aufzusetzen, um auf diese Art und Weise gut funktionierende Unternehmensprozesse nutzen zu können. Deswegen wurde der bestehende Planungsprozess als Trägerprozess aufgesetzt und dieser mit dem bestehenden Risikomanagementprozess synchronisiert. Für 2014 ist die flächendeckende Ausrollung des Prozesses mit einer umfangreichen Informationsinitiative vorgesehen.

R3-Ausbildung

Ein wesentlicher Erfolgsfaktor für ein funktionierendes konzernweites Risikomanagement-Rahmenwerk ist ein gutes Verständnis der Ziele und der Auswirkungen des Risikomanagementansatzes für bzw. auf die UNIQA Group. Zu diesem Zweck wurde ein umfangreiches Ausbildungsprogramm für das Topmanagement, das Management und die Mitarbeiter in den Schlüsselfunktionen ins Leben gerufen.

Es werden die regulatorischen Rahmenbedingungen von Solvency II, die interne Risikomanagement-Governance mit ihren Prozessen, die Kalkulationsmethoden mit den Auswirkungen auf das Geschäftsmodell sowie Themen aus den Bereichen IFRS-Bilanzierung, Grundzüge der Tarifierung und Reservierung sowie Compliance-Themen behandelt.

Weiters wird ein eigens für die Ausbildungsreihe konzipierter Risikomanagment-Case simuliert.

Einen hohen Stellenwert besitzt die Ausbildung des Aufsichtsrats der UNIQA Group, damit die Mitglieder des Aufsichtsrats bezüglich der laufenden Entwicklungen im Steuerungsansatz (ökonomische Steuerung) informiert sind und diese Entwicklungen im Rahmen ihrer Beaufsichtigungstätigkeit berücksichtigen können. Hierzu zählen die Themengebiete „Embedded Value“, Kapitalmodell der UNIQA Group und ökonomische Steuerungskennzahlen.

Internes Kontrollsystem

Die Implementierung des konzernweiten internen Kontrollsystems war ein wesentliches Teilprojekt für 2013 im Rahmen des Risikomanagementprozesses.

Neben den aufsichtsrechtlichen Anforderungen legt die UNIQA Group einen besonders hohen Wert auf die transparenten und effizienten Prozesse, die für die Erreichung der im Rahmen der Neuausrichtung der UNIQA Group definierten strategischen Ziele Voraussetzung sind.

In der IKS-Richtlinie, die sowohl auf Gruppenebene als auch auf Gesellschaftsebene 2013 verabschiedet wurde, sind die Mindestanforderungen des internen Kontrollsystems in Bezug auf Methoden und Umfang definiert. Zentrale Elemente dieser Richtlinie stehen im Einklang mit dem Rahmenwerk, das vom COSO (Committee of Sponsoring Organizations of the Treadway Commission) entwickelt wurde.

Das interne Kontrollsystem wurde gemäß der IKS-Richtlinie für folgende Kernprozesse (und deren Subprozesse) implementiert:

  • Rechnungslegung
  • Kapitalveranlagung
  • Produktentwicklung
  • Inkasso/Exkasso
  • Underwriting
  • Schadenbearbeitung
  • Risikomanagementprozess
  • Rückversicherung
  • IT-Prozesse

Das Ziel ist dabei, dass Risiken, die im Prozessablauf auftreten können, rechtzeitig erkannt und verhindert werden. Dazu sollen nach der Risikoidentifikationsphase für alle wesentlichen Risiken Schlüsselkontrollen definiert werden, die die Risiken verringern bzw. eliminieren. Neben den Prozessen der Rechnungslegung, in denen wir durch geeignete Kontrollen das Fehlerrisiko in den Konzernabschlüssen minimieren wollen, ist uns ein einwandfreier Ablauf der Prozesse aus dem Kerngeschäft ein großes Anliegen.

Beschreibung der wichtigsten Merkmale des internen Kontrollsystems (IKS) im Hinblick auf den Rechnungslegungsprozess gemäß § 243a Abs. 2 UGB

Im Hinblick auf den Rechnungslegungsprozess ist seit dem Jahr 2009 ein IKS-Prozess definiert und in Betrieb.

Die Zielsetzung des IKS des Rechnungslegungsprozesses ist es, durch die Implementierung von Kontrollen hinreichende Sicherheit zu gewährleisten, dass trotz der identifizierten Risiken ein ordnungsgemäßer Abschluss erstellt wird. Nach dem IKS-Rahmenwerk der UNIQA Group werden mithilfe des internen Kontrollsystems operationelle und Prozessrisiken verhindert bzw. deutlich reduziert. Um eine noch höhere Sicherheitsstufe zu gewährleisten, ist auch ein einheitliches internes Kontrollsystem für die vorgelagerten Prozesse aufgebaut.

Organisatorischer Aufbau und Kontrollumfeld

Der Rechnungslegungsprozess der UNIQA Group ist konzernweit standardisiert. Zur Gewährleistung eines sicheren Ablaufs bestehen Compliance-Richtlinien, Betriebsorganisationshandbücher sowie Bilanzierungs- und Konsolidierungshandbücher. Die Abwicklung ist für inländische verbundene Unternehmen weitgehend zentralisiert. Für ausländische Konzerngesellschaften erfolgt der Rechnungslegungsprozess großteils dezentral.

Identifikation und Kontrolle der Risiken

Zur Identifikation der bestehenden Risiken wurden eine Inventur der bestehenden Risiken durchgeführt und angemessene Kontrollmaßnahmen definiert. Die wichtigsten Kontrollen wurden in Richtlinien und Anweisungen vorgegeben und mit einem Berechtigungskonzept versehen. Die Kontrollen umfassen sowohl manuelle Abstimm- und Abgleichsroutinen wie auch die Abnahme von Systemkonfigurationen bei angebundenen IT-Systemen. Erkannte neue Risiken und Kontrollschwächen im Rechnungslegungsprozess werden zeitnah an das Management berichtet, um Abhilfemaßnahmen ergreifen zu können. Die Vorgehensweise bei der Identifikation und Kontrolle der Risiken wird regelmäßig durch einen externen unabhängigen Berater evaluiert.

Phasing-in/Solvency II – Governance

Gemäß Art 41. (1) Solvency II soll jedes Versicherungsunternehmen über ein wirksames Governance-System verfügen, das ein solides und vorsichtiges Management des Geschäfts gewährleistet. Dieses System umfasst zumindest eine angemessene transparente Organisationsstruktur mit einer klaren Zuweisung von Verantwortungen und einer angemessenen Trennung der Zuständigkeiten und ein wirksames Informationssystem.

Um den vielschichtigen Anforderungen von Solvency II betreffend das Governance-System zu genügen, hat UNIQA, in einem ersten Schritt, 2012 das Governance-Modell entwickelt. Das Modell fasst wesentliche Governance-Prinzipien zusammen und definiert klar Kompetenzen und Verantwortlichkeiten der einzelnen Gesellschaftsorgane im Entscheidungsprozess über wesentliche Themen durch Anwendung einer klar strukturierten Entscheidungsmatrix. Dieses Modell findet Anwendung auf österreichische Gesellschaften. 2013 wurde das Governance-Modell der UNIQA Group nach einem Jahr der faktischen Anwendung der ersten Prüfung unterzogen. Im Zuge dieser Revision wurde in einigen Punkten ein Verbesserungspotential festgestellt. Diese Verbesserungen werden sich in der neuen Fassung des Governance-Modells, die für 2014 geplant ist, wiederfinden.

2013 hat die Ausweitung des Governance-Modells auf UNIQA Töchter begonnen. Dabei wird ein separates Governance-Modell für alle ausländischen Tochtergesellschaften vorbereitet, das allgemeine Governance-Grundsätze mit den Besonderheiten der einzelnen Länder verankert. Im Herbst 2013 haben zwei Länder im Rahmen einer Testphase die Möglichkeit gehabt, die Modellvorgabe des internationalen Governance-Modells zu überprüfen und ihre Kommentare zum Inhalt zu liefern. Der Input von den Ländern wurde mit der UNIQA International Arbeitsgruppe ausführlich erläutert und in die Erstfassung des Modells aufgenommen.

Compliance

In der zweiten Hälfte 2013 hat die Abteilung Group Compliance mit dem Aufbau und der Harmonisierung der Compliance-Strukturen im Ausland begonnen. Ziel ist es, ein Standardset von Vorgaben und Leitlinien innerhalb der Gruppe zu etablieren.

Im ersten Schritt wurden lokale Compliance-Beauftragte in allen Tochtergesellschaften ernannt. Nach Schaffung dieser Struktur gilt es, die Compliance-Risiken der einzelnen Länder zu erfassen und zu bewerten. Eine schlanke zentrale Struktur zur Schaffung der notwendigen Werkzeuge und Prozesse hilft, die Organisation von UNIQA entsprechend vorzubereiten.

ALM/Markt- und Kreditrisikomodell

Im Jahr 2013 wurden der ALM-Prozess und die dazugehörige Governance weiterentwickelt. Insbesondere im Bereich Kapitalallokation auf verschiedene Subrisiken im Markt- und Kreditrisikobereich sowie in der Messung der Auslastung wurden weitere Verbesserungen vorgenommen. Eine zentrale ALM-Kompetenz für alle Tochtergesellschaften wurde aufgebaut.

Weiters wurden die 2012 entwickelten Modelle zur Messung des Kapitalbedarfs final implementiert bzw. automatisiert. Die Möglichkeit einer regelmäßigen/unterjährigen Darstellung des Risikoprofils und darauf basierender Limits wurde damit geschaffen. Verknüpft mit Weiterentwicklungen im Bereich Bewertung (insbesondere komplexer Finanzinstrumente) wurden wichtige Schritte für die bessere, transparentere Darstellung der aktuellen Risikosituation im Finanzbereich geschaffen. Die Steuerung erfolgt auf Basis von Risikokapitalverbrauch und damit verbundenen Limits, was strategische Entscheidungen auf Basis einer wertorientierten Risiko-Return-Betrachtung ermöglicht.

Versicherungstechnik

Produkte & Profitabilität

Die in den vergangenen beiden Jahren eingeführten Konzernrichtlinien zu standardisierten und verpflichtenden Profitabilitätsanalysen, insbesondere im Bereich der Lebensversicherung und der Kfz-Sparten im Bereich der Schaden- und Unfallversicherung, wurden 2013 konsequent umgesetzt und haben im Produktannahmeprozess an Bedeutung gewonnen. Insbesondere für die Kfz-Sparten, die 2013 erstmals in die Analyse einbezogen wurden, konnte das gesetzte Ziel einer hohen Abdeckung der Neutarife erreicht werden. Darüber hinaus wurden klare Verbesserungen der Profitabilität erzielt, vorwiegend in der Lebensversicherung, wo das Vorgehen bereits etabliert ist. In einem nächsten Schritt werden 2014 und 2015 die Mindestanforderungen an die Profitabilität erhöht.

Aktuarielles Monitoring des Kerngeschäfts

Das implementierte aktuarielle Monitoring wurde 2013 insbesondere im Hinblick auf Steigerung der Datenqualität und Automatisierung der resultierenden Berichte weiterentwickelt. Die beiden Kernanalysen – Gewinnquellen-Analyse für Lebensversicherungen sowie Detailanalyse der Abwicklungsergebnisse in der Schaden- und Unfallversicherung – werden in Auszügen in entsprechende Komiteesitzungen und Entscheidungsprozesse miteinbezogen.

Rückversicherung

Ein Fokus lag 2013 in der Stärkung der Kompetenz zum Thema Naturgefahrenmodelle. Die mittelfristigen Aufgabenschwerpunkte in diesem Geschäftsbereich sind der Aufbau und die Vermittlung eines fundierten Know-Hows in Bezug auf Aufbau und Wirkungsweise der einzelnen Naturgefahrenmodelle, die Entwicklung von Validierungsmethoden sowohl auf Markt- als auch auf Gesellschaftsebene, die gesellschaftsindividuelle Verbesserung der Qualität von Inputdaten und die Erstellung eines Schulungskonzepts für die UNIQA Gruppengesellschaften.

2013 sind bereits erste eigene Dokumentationen mit Grundlagenwissen zu den einzelnen Naturgefahren erstellt worden. Zusätzlich wurde eine Datenbankstruktur entwickelt, die auf einheitlicher Basis für jedes konzernrelevante Naturgefahrenmodell die technischen Spezifikationen umfassen wird. Für detaillierte Modellevaluationen bestehen zudem erste Konzepte, die aktuell bereits in der Umsetzung sind. Der zielgerichtete Einsatz und die Steuerung der hierzu jeweils herangezogenen externen Serviceprovider obliegen ebenfalls diesem Geschäftsbereich bei der UNIQA Re AG.

© UNIQA Group 2014