6. Risikobericht
6.2 Risikomanagementsystem
Der Schwerpunkt des Risikomanagements mit den Steuerungsstrukturen und definierten Prozessen liegt darin, dass die strategischen Ziele von UNIQA und seinen Tochtergesellschaften erreicht werden.
Die Basis für einen einheitlichen Standard auf unterschiedlichen Unternehmensebenen stellt die Risikomanagementrichtlinie von UNIQA dar. Diese Richtlinie ist vom Group CFRO und vom Gesamtvorstand verabschiedet und beschreibt die Mindestanforderungen in Bezug auf Organisationsstruktur und Prozessstruktur. Zudem wird hier auch der Rahmen für alle Risikomanagementprozesse der wichtigsten Risikokategorien festgelegt.
Zusätzlich zur Risikomanagementrichtlinie auf Gruppenebene wird eine solche auch auf Ebene der Tochtergesellschaften erstellt und verabschiedet. Die Risikomanagementrichtlinie auf Ebene der Tochtergesellschaften wurde vom Vorstand der UNIQA Tochtergesellschaften genehmigt und steht im Einklang mit der Risikomanagementrichtlinie von UNIQA.
Dabei soll sichergestellt werden, dass die für UNIQA relevanten Risiken im Vorfeld identifiziert und bewertet und gegebenenfalls proaktiv Maßnahmen zum Risikotransfer oder zur Risikominimierung eingeleitet werden.
Um die Verankerung des Risikomanagements ins Tagesgeschäft sicherzustellen, ist eine intensive Vermittlung der Inhalte und des Nutzens nötig. Deswegen finden seit 2012 sehr umfangreiche Informations- und Ausbildungsmaßnahmen statt, die auch zukünftig fortgesetzt und zielgruppenbezogen erweitert werden.
Organisationsstruktur (Governance)
Die detaillierte Ausgestaltung der Prozess- und Organisationsstruktur des Risikomanagements ist in der Risikomanagementrichtlinie von UNIQA festgelegt. Darin werden die Prinzipien des Konzepts „Three lines of defence“ und die klaren Unterscheidungen zwischen den einzelnen „lines of defence“ reflektiert.
First line of defence: Risikomanagement innerhalb der Geschäftstätigkeit
Die Verantwortlichen für die Geschäftstätigkeiten haben ein angemessenes Kontrollumfeld aufzubauen und zu leben, um die Risiken, die in Verbindung zum Geschäft und zu den Prozessen stehen, zu identifizieren und zu überwachen.
Second line of defence: Aufsichtsfunktionen inklusive der Risikomanagementfunktionen
Die Risikomanagementfunktionen und die Aufsichtsfunktionen wie zum Beispiel das Controlling müssen die Geschäftsaktivitäten überwachen, jedoch ohne in die operative Ausübung einzugreifen.
Third line of defence: interne und externe Prüfung
Diese ermöglicht eine unabhängige Überprüfung der Gestaltung und Effektivität des gesamten internen Kontrollsystems, die das Risikomanagement und die Compliance umfasst (z. B. Interne Revision).
Vorstand und Gruppenfunktionen
Der Vorstand der UNIQA Insurance Group AG ist verantwortlich für die Festlegung der geschäftspolitischen Ziele und einer davon abgeleiteten Risikostrategie. Die zentralen Elemente des Risikomanagementsystems und der damit verbundenen Governance sind in der „UNIQA Group Risk Management Policy“ verankert, die durch den Vorstand abgenommen wurde.
Auf Ebene des Konzernvorstands besteht die Funktion des Chief Financial Risk Officers (CFRO) mit eigenem Ressort. Dadurch wird gewährleistet, dass das Thema Risikomanagement im Vorstand vertreten ist. Der CFRO wird speziell für die Risikomanagementaufgaben durch den Bereich „Group Actuarial and Risk Management“ in der Umsetzung und der Erfüllung dieser Aufgaben unterstützt.
Ein zentrales Element in der Risikomanagementorganisation ist das Risikomanagementkomitee von UNIQA, das für die aktuelle Entwicklung sowohl die kurzfristige als auch die langfristige Steuerung des Risikoprofils kontrolliert und entsprechende Maßnahmen setzt. Das Risikomanagementkomitee legt die Risikostrategie fest, überwacht und steuert die Einhaltung der Risikotragfähigkeit sowie -limits und nimmt somit eine zentrale Rolle im Steuerungsprozess des Risikomanagementsystems von UNIQA ein.
UNIQA Versicherungsunternehmen
Weiters sind auch in den UNIQA Versicherungsunternehmen auf Vorstandsebene die CRO-Funktionen und auf der Ebene darunter die Funktionen des Risikomanagers etabliert. Damit wird ein durchgängiges und einheitliches Risikomanagementsystem in der Gruppe aufgesetzt.
Wie auf Ebene der Gruppe bildet auch in den UNIQA Versicherungsunternehmen ein jeweiliges Risikomanagementkomitee ein zentrales Element in der Risikomanagementorganisation. Dieses Komitee ist verantwortlich für die Steuerung des Risikoprofils und die damit verbundene Festlegung und Überwachung von Risikotragfähigkeit und -limits.
Der Aufsichtsrat der UNIQA Insurance Group AG wird in den Aufsichtsratssitzungen über die Risikoberichterstattung umfassend informiert.
Risikomanagementprozess
Der Risikomanagementprozess von UNIQA liefert periodische Informationen zum Risikoprofil und ermöglicht dem Topmanagement, Entscheidungen zur langfristigen Zielerreichung zu treffen.
Der Prozess konzentriert sich auf unternehmensrelevante Risiken und ist für folgende Risikokategorien definiert:
- Versicherungstechnisches Risiko (Schaden- und Unfall-, Kranken- und Lebensversicherung)
- Marktrisiko/Asset-Liability-Management-Risiko (ALM-Risiko)
- Kreditrisiko/Ausfallrisiko
- Liquiditätsrisiko
- Konzentrationsrisiko
- Strategisches Risiko
- Reputationsrisiko
- Operationelles Risiko
- Ansteckungsrisiko (Contagion Risk)
- Neues oder für die Zukunft absehbares Risiko (Emerging Risk)
Für diese Risikokategorien werden im Rahmen eines konzernweit standardisierten Risikomanagementprozesses die Risiken von UNIQA und seinen Tochtergesellschaften regelmäßig identifiziert, bewertet und berichtet.
Risikoidentifikation
Die Risikoidentifikation ist die Ausgangsbasis des Risikomanagementprozesses, in der alle wesentlichen Risiken systematisch zu erfassen und möglichst detailliert zu beschreiben sind. Um eine möglichst vollständige Risikoidentifikation durchzuführen, werden parallel unterschiedliche Ansätze angewendet und alle Risikokategorien, Tochtergesellschaften, Prozesse und Systeme einbezogen.
Bewertung/Messung
Die Risikokategorie Marktrisiko, die versicherungstechnischen Risiken, das Gegenparteiausfallrisiko und das Konzentrationsrisiko werden im Rahmenwerk von UNIQA mittels quantitativer Verfahren auf Basis des Standardansatzes von Solvency II und des ECM-Ansatzes (Economic Capital Model) bewertet. Weiters werden für die Ergebnisse aus dem Standardansatz Risikotreiber identifiziert, und es wird analysiert, ob die Risikosituation angemessen reflektiert wird (im Einklang mit der unternehmenseigenen Risiko- und Solvabilitätsbeurteilung [ORSA]). Alle anderen Risikokategorien werden durch eigene Gefahrenszenarien quantitativ oder qualitativ bewertet.
Allgemein stellt die Szenarioanalyse (bezogen auf die interne und externe wirtschaftliche Risikosituation von UNIQA) ein wesentliches Element des Risikomanagementprozesses dar.
Ein Szenario ist ein mögliches internes oder externes Ereignis, das einen kurzfristigen oder mittelfristigen Effekt auf das Konzernergebnis, die Solvenzposition oder die Nachhaltigkeit zukünftiger Ergebnisse verursacht. Das Szenario wird in Bezug auf seine Ausprägung (z.B. Eintritt der Zahlungsunfähigkeit Griechenlands) formuliert und nachfolgend bezüglich seiner finanziellen Wirkung auf UNIQA bewertet. Weiters wird die Eintrittswahrscheinlichkeit des Szenarios beobachtet.
Limits und Frühwarnindikatoren
Im Rahmen des Limit- und Frühwarnsystems werden in laufenden Abständen die Risikotragfähigkeit (die verfügbaren Eigenmittel auf IFRS-Basis, ökonomisches Eigenkapital) und das Kapitalerfordernis auf Basis der Risikosituation ermittelt und der Bedeckungsgrad abgeleitet. Werden kritische Bedeckungsgradschwellwerte erreicht, wird ein genau definierter Prozess in Gang gesetzt, der zum Ziel hat, den Solvenzbedeckungsgrad wieder auf ein unkritisches Niveau zurückzuführen.
Berichterstattung
Nach der detaillierten Risikoanalyse und Überwachung werden quartalsweise für jedes UNIQA Versicherungsunternehmen sowie für die UNIQA Group ein Bericht zur aktuellen Solvenzlage sowie ein monatlicher Bericht der größten identifizierten Risiken erstellt. Berichte jeder einzelnen UNIQA Tochtergesellschaft und der UNIQA Group selbst haben dieselbe Struktur und geben einen Überblick über die Hauptrisikoindikatoren wie Risikotragfähigkeit, Solvenzerfordernis und Risikoprofil. Weiters sind für die UNIQA Group und für alle Tochtergesellschaften, für die das Solvency-II-Berichtswesen verpflichtend ist, das quantitative (in Form der „Quantitative Reporting Templates“) sowie das qualitative (in Form des „Narrativen Berichts“) Berichtswesen implementiert.
Aktivitäten und Ziele aus dem Jahr 2016
Basierend auf der externen und internen Entwicklung haben sich im Jahr 2016 die Aktivitäten an folgenden Schwerpunkten orientiert:
- Vorbereitung der Berichtsanforderungen nach Solvency II
- Zusammenführung der operativen UNIQA Versicherungsunternehmen in Österreich im Rahmen der Konzernverschmelzungen
- Vorbereitung weiterer neuer regulatorischer Anforderungen
Mit dem Inkrafttreten von Solvency II war das Risikomanagement intensiv mit dem Aufbau des unter Säule III geforderten Berichtswesens beschäftigt. Ein Teil der Berichtsanforderungen aus der Richtlinie 2009/138/EC des Europäischen Parlaments vom 25. November 2009 (Solvency II) ist der sogenannte „Solvency and Financial Condition Report“ (SFCR), der die Solvabilität und Finanzlage des Versicherungsunternehmens für die Marktteilnehmer transparent darstellen soll. Der Bericht enthält quantitative und qualitative Informationen über die Geschäftstätigkeit des Unternehmens (wirtschaftlicher Rahmen), über das Governance-System (Organisationsstruktur, Internes Kontrollsystem, Compliance, Interne Revision und aktuarielle Funktion), über das Risikoprofil von UNIQA , über die Bewertungsmethoden für Solvabilitätszwecke und über das Kapitalmanagement (Eigenmittel, Solvenzkapitalanforderungen etc.) des Unternehmens. Mithilfe dieser umfassenden Informationen soll es dem Leser des Berichts ermöglicht werden, ein klares Bild über die finanzielle Lage des Unternehmens zu bekommen.
Neben dem SFCR gibt es für das Versicherungsunternehmen die Verpflichtung zur Abgabe eines vollumfänglichen Aufsichtsberichts, des sogenannten „Regular Supervisory Report“ (RSR). Dieser Bericht wird der Aufsicht das erste Mal für den Stichtag 31. Dezember 2016 zur Verfügung gestellt und unterscheidet sich vom SFCR im Wesentlichen durch die Angabe von Details zum Erfolgsergebnis, zu Geschäftsplanungszeiträumen und Projektionen sowie Angaben zur Vergütung von Vorstandsmitgliedern.
Ein weiterer wesentlicher Teil der Berichterstattung sind die sogenannten „Quantitative Reporting Templates“ (QRTs), die rein quantitative Angaben über ein Versicherungsunternehmen beinhalten und nach der Einreichungsregelung der Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) an die Aufsichtsbehörden gemeldet werden. Hier wird unterschieden zwischen Quartals- und Jahresmeldungen, die sowohl für Einzelunternehmen als auch für den Konzern erfolgen. Zur Unterstützung in der Umsetzung einer ordnungsgemäßen und zeitnahen Meldung an die Aufsichtsbehörden hat UNIQA in technische Serviceprogramme investiert, die die entsprechenden Anforderungen gewährleisten.
Eines der wesentlichen Themen des Risikomanagements im Jahr 2016 bezog sich auf die Aktivitäten im Zusammenhang mit der Zusammenführung der in Österreich operativen UNIQA Versicherungsunternehmen in die UNIQA Österreich Versicherungen AG („Verschmelzung AT“). Aus diesen Aktivitäten resultierte die Notwendigkeit der Durchführung einer unternehmenseigenen Ad-hoc-Risiko- und Solvenzbeurteilung (Ad-hoc-ORSA). In diese Ad-hoc-ORSA wurde die Angemessenheit der Solvency-II-Standardformel für das neue Unternehmen getestet und überprüft, ob alle wesentlichen Risiken im Risikomanagementprozess erfasst sind. Außerdem wurde auch eine Solvenzplanung über den Planungshorizont durchgeführt sowie diese Planung mehreren Stressszenarien ausgesetzt. Darüber hinaus hatte die „Verschmelzung AT“ auch die Notwendigkeit des Umbaus des partiellen internen Modells für die Schaden-/ Unfallversicherung zur Folge, wodurch sich eine Verschiebung des regulatorischen Antragsprozesses auf 2017 ergab.
Regulatorische Herausforderungen
Aus regulatorischer Sicht war das Jahr 2016 vor allem durch das Inkrafttreten von Solvency II mit 1. Jänner 2016 geprägt. Aufgrund unterschiedlichster Kritikpunkte hinsichtlich Harmonisierung, Parametrisierung und differenzierter nationaler Auslegungen hat die Europäische Kommission bereits mit dem sogenannten „SII Review Process“ begonnen und im Zuge dessen die EIOPA mit der Analyse und Ausarbeitung der kritischen Themen beauftragt. Die EIOPA hat der Europäischen Kommission bis 31. Oktober 2017 einen „Technical Advice“ vorzulegen. Explizite Schwerpunkte sind die NatCat-Kalibrierung, der pauschale Immobilienschock und die verkürzten Reporting Timelines. Die EIOPA selbst hat sich für die nächsten drei Jahre (vgl. Strategic Work Plan 2017 – 2019) vorgenommen, die europaweite Harmonisierung des Vollzugs im Aufsichtsrecht, die weitere Verbesserung des produktbezogenen Konsumentenschutzes und die Absicherung der Finanzstabilität von Versicherungen stärker voranzutreiben.
Hinsichtlich der Förderung des digitalen Binnenmarkts sowie der Weiterentwicklung der Konsumentenschutzbestimmungen rund um Finanzdienstleistungen für Privatkunden stehen aktuell vor allem die Themen Versicherungsvertriebsrichtlinie (Insurance Distribution Directive, IDD) und die Verordnung für Versicherungsanlageprodukte (PRIIP Regulation) im Fokus. Die IDD ist mit Beginn des Jahres offiziell in Kraft getreten und muss nun bis 22. Februar 2018 national umgesetzt werden. Auf dem Weg der Umsetzung erfolgen auf Level-2-Ebene mittels delegierter Rechtsakte wesentliche Detaillierungen hinsichtlich der Themen Produktüberwachung und -kontrolle, Interessenkonflikte, Anreize und Beurteilung der Eignung und Zweckmäßigkeit sowie Berichtspflichten gegenüber Kunden. Die EIOPA hat diesbezüglich einen umfassenden Konsultationsprozess gestartet und zusätzlich die Konsultation für technische Standards eines verpflichtenden Produktinformationsblattes für Nicht-lebensprodukte (PID) initiiert.
Aufgrund der PRIIP-Verordnung sind Versicherungsunternehmen ab 31. Dezember 2016 zur Erstellung eines vorvertraglichen Informationsblattes verpflichtet (Key Information Document, KID). Darunter fallen aus heutiger Sicht alle Lebensversicherungsprodukte, die einen Fälligkeits- oder Rückkaufswert besitzen. Hinsichtlich der Form des KID wurden auf Level-2-Ebene technische Regulierungsstandards (RTS) seitens der ESA (Zusammenarbeit der drei europäischen Aufsichten EIOPA, EBA und ESMA) erarbeitet und am 30. Juni 2016 von der Europäischen Kommission angenommen. Die RTS wurden vor allem seitens der Versicherungswirtschaft aufgrund von Fehlern und der knappen Umsetzungsfrist massiv kritisiert und am 14. September 2016 vom Europäischen Parlament abgelehnt. Eine im Vorfeld propagierte Verschiebung von zwölf Monaten wurde am 9. Dezember 2016 im „College of Commissioners“ beschlossen.
Auf europäischer Ebene gedenkt die EIOPA aktuell die UFR (Ultimate Forward Rate) einer jährlichen Neuberechnung zu unterziehen. Der aktuelle festgesetzte Wert von 4,2 Prozent wurde im Rahmen von Omnibus II im Jahr 2010 festgelegt und entspricht nach Meinung der EIOPA nicht mehr den aktuellen Gegebenheiten. Die EIOPA schlägt eine Änderung der Berechnungsmethodik und eine stufenweise Absenkung (max. 20 Basispunkte) in jährlichen Schritten vor. Diese Vorgehensweise wird vor allem aufgrund gesetzlicher Gegebenheiten aktuell von der europäischen Versicherungswirtschaft verstärkt infrage gestellt. Eine Entscheidung wird im März 2017 erwartet.