Risikobericht
40. Risikomanagementsystem
Der Schwerpunkt des Risikomanagements mit den Steuerungsstrukturen und definierten Prozessen liegt darin, dass die strategischen Ziele von UNIQA und ihren Konzerngesellschaften erreicht werden.
Die Basis für einen einheitlichen Standard auf unterschiedlichen Unternehmensebenen stellt die Risikomanagementrichtlinie von UNIQA dar. Diese Richtlinie ist vom CFRO und vom Gesamtvorstand verabschiedet und beschreibt die Mindestanforderungen in Bezug auf Organisationsstruktur und Prozessstruktur. Zudem wird hier auch der Rahmen für alle Risikomanagementprozesse der wichtigsten Risikokategorien festgelegt.
Zusätzlich zur Risikomanagementrichtlinie auf Gruppenebene wird eine solche auch auf Ebene der Konzerngesellschaften erstellt und verabschiedet. Die Risikomanagementrichtlinie auf Ebene der Gesellschaften wurde vom Vorstand der UNIQA Gesellschaften genehmigt und steht im Einklang mit der Risikomanagementrichtlinie von UNIQA.
Dabei soll sichergestellt werden, dass die für UNIQA relevanten Risiken im Vorfeld identifiziert und bewertet und gegebenenfalls proaktiv Maßnahmen zum Risikotransfer oder zur Risikominimierung eingeleitet werden.
Organisationsstruktur (Governance)
Die detaillierte Ausgestaltung der Prozess- und Organisationsstruktur des Risikomanagements ist in der Risikomanagementrichtlinie von UNIQA festgelegt. Darin werden die Prinzipien des Konzepts „Three lines of defence“ und die klaren Unterscheidungen zwischen den einzelnen „lines of defence“ reflektiert.
First line of defence: Risikomanagement innerhalb der Geschäftstätigkeit
Die Verantwortlichen für die Geschäftstätigkeiten haben ein angemessenes Kontrollumfeld aufzubauen und zu leben, um die Risiken, die in Verbindung zum Geschäft und zu den Prozessen stehen, zu identifizieren und zu überwachen.
Second line of defence: Aufsichtsfunktionen inklusive der Risikomanagementfunktionen
Die Risikomanagementfunktionen und die Aufsichtsfunktionen, wie zum Beispiel das Controlling, müssen die Geschäftsaktivitäten überwachen, jedoch ohne in die operative Ausübung einzugreifen.
Third line of defence: interne und externe Prüfung
Diese ermöglicht eine unabhängige Überprüfung der Gestaltung und Effektivität des gesamten internen Kontrollsystems, die das Risikomanagement und die Compliance umfasst (z. B. Interne Revision).
Die relevanten Verantwortlichkeiten sind in der obigen Übersicht entsprechend dargestellt. Darüber hinaus wird der Aufsichtsrat der UNIQA Insurance Group AG in den Aufsichtsratssitzungen über die Risikoberichterstattung umfassend informiert.
Risikomanagementprozess
Der Risikomanagementprozess von UNIQA liefert periodische Informationen zum Risikoprofil und ermöglicht dem Topmanagement, Entscheidungen zur langfristigen Zielerreichung zu treffen.
Der Prozess konzentriert sich auf unternehmensrelevante Risiken und ist für folgende Risikokategorien definiert:
- Versicherungstechnisches Risiko (Schaden- und Unfall-, Kranken- und Lebensversicherung)
- Marktrisiko/Asset-Liability-Management-Risiko (ALM-Risiko)
- Kreditrisiko/Ausfallrisiko
- Liquiditätsrisiko
- Konzentrationsrisiko
- Strategisches Risiko
- Reputationsrisiko
- Operationelles Risiko
- Ansteckungsrisiko (Contagion Risk)
- Emerging Risk
Für diese Risikokategorien werden im Rahmen eines konzernweit standardisierten Risikomanagementprozesses die Risiken von UNIQA und ihren Konzerngesellschaften regelmäßig identifiziert, bewertet und berichtet.
Risikomanagementprozess von UNIQA
Die Risikoidentifikation ist die Ausgangsbasis des Risikomanagementprozesses, in der alle wesentlichen Risiken systematisch zu erfassen und möglichst detailliert zu beschreiben sind. Um eine möglichst vollständige Risikoidentifikation durchzuführen, werden parallel unterschiedliche Ansätze angewendet und alle Risikokategorien, Tochtergesellschaften, Prozesse und Systeme einbezogen.
Die Risikokategorie Marktrisiko, die versicherungstechnischen Risiken und das Ausfallrisiko werden im Rahmenwerk von UNIQA mittels quantitativer Verfahren entweder auf Basis des Standardansatzes von Solvency II bzw. des partiellen internen Modells für die Schadenunfallversicherung einer Bewertung unterzogen. Weiters werden für die Ergebnisse aus dem Standardansatz Risikotreiber identifiziert, und es wird analysiert, ob die Risikosituation angemessen reflektiert wird (im Einklang mit der unternehmenseigenen Risiko- und Solvabilitätsbeurteilung (ORSA)). Daraus ergibt sich der auf das UNIQA Portfolio adjustierte ECM-Ansatz. Alle anderen Risikokategorien werden durch eigene Gefahrenszenarien quantitativ oder qualitativ bewertet.
Allgemein stellt die Szenarioanalyse (bezogen auf die interne und externe wirtschaftliche Risikosituation von UNIQA) ein wesentliches Element des Risikomanagementprozesses dar.
Ein Szenario ist ein mögliches internes oder externes Ereignis, das einen kurzfristigen oder mittelfristigen Effekt auf das Konzernergebnis, die Solvenzposition oder die Nachhaltigkeit zukünftiger Ergebnisse verursacht. Das Szenario wird in Bezug auf seine Ausprägung (z. B. Eintritt der Zahlungsunfähigkeit Griechenlands) formuliert und nachfolgend bezüglich seiner finanziellen Wirkung auf UNIQA bewertet. Weiters wird die Eintrittswahrscheinlichkeit des Szenarios bewertet.
Im Rahmen des Limit- und Frühwarnsystems werden in laufenden Abständen die Risikotragfähigkeit (ökonomisches Eigenkapital) und das Kapitalerfordernis auf Basis der Risikosituation ermittelt und der Bedeckungsgrad abgeleitet. Werden kritische Bedeckungsgradschwellwerte erreicht, wird ein genau definierter Prozess in Gang gesetzt, der zum Ziel hat, den Solvenzbedeckungsgrad wieder auf ein unkritisches Niveau zurückzuführen.
Nach der detaillierten Risikoanalyse und Überwachung wird im Rahmen der quartalsweisen Berichterstattung für jedes UNIQA Versicherungsunternehmen sowie für die UNIQA Group eine Übersicht der größten identifizierten Risiken erstellt. Berichte jeder einzelnen UNIQA Konzerngesellschaft und der UNIQA Group selbst haben dieselbe Struktur und geben einen Überblick über die Hauptrisikoindikatoren wie Risikotragfähigkeit, Solvenzerfordernis und Risikoprofil. Weiters sind für die UNIQA Group und für alle Konzerngesellschaften, für die das Solvency-II-Berichtswesen verpflichtend ist, das quantitative (in Form der „Quantitative Reporting Templates“) sowie das qualitative (in Form des „Narrativen Berichts“) Berichtswesen implementiert.
Aktivitäten und Ziele aus dem Jahr 2018
Basierend auf der externen und internen Entwicklung haben sich im Jahr 2018 die Aktivitäten an folgenden Schwerpunkten orientiert:
- Gründung Shared Service Centers (SSC) Bratislava
- Partielles internes Modell Marktrisiko
- Überarbeitung des Konzepts für das interne Kontrollsystem (IKS)
- Umsetzung Datenschutz
- Emerging Risk Radar 2018
- Einkauf einer Cyber Versicherung
Mit der Gründung von UNIQA 4WARD als Zweigniederlassung der UNIQA Insurance Group AG hat UNIQA im 2. Quartal dieses Jahres einen wesentlichen Schritt in Richtung „Shared Services“ gemacht. Ziel dieser Zweigniederlassung mit Sitz in Bratislava ist es, Ressourcenengpässe besser überwinden und die lokalen Gesellschaften von der täglichen Arbeit entlasten zu können. UNIQA 4WARD bildet die Basis, auch zukünftige, zusätzliche Anforderungen zeitgerecht und in der erforderlichen Qualität zu erledigen. Neben Erstellung eines Konzepts für Recruiting und Employer Branding lag das Hauptaugenmerk in diesem Jahr auf dem Bereich Aktuariat und Risikomanagement. Nach einer länderübergreifenden Scoping- und Designphase wurden drei Prozesse festgelegt, die 2019 in die Pilotphase gehen werden. Die ersten Mitarbeiter haben ein umfangreiches Ausbildungsprogramm durchlaufen, um diese Pilotprozesse erfolgreich durchführen zu können.
Ebenfalls hat UNIQA intensiv an der Weiterentwicklung des partiellen internen Modells (welches zum 11. Dezember 2017 für die Schaden- und Unfallversicherung genehmigt wurde) gearbeitet. Konkret wurde das Modell um das Marktrisikomodul erweitert. Nachdem mit der Arbeit für das Modell des Marktrisikos im Jahr 2017 begonnen wurde, konnte es im Jahr 2018 für interne Zwecke fertiggestellt und bereits einmal voll durchgerechnet werden. Die wesentlichen Änderungen im Vergleich zur Standardformel treten in den Modulen für Zinsen, Spreads und Immobilien auf.
Verbunden mit den großen strukturellen Aktivitäten im Konzern (UIP, TOM) und den damit einhergehenden Anpassungen in der Wertschöpfungskette entstand die Notwendigkeit, das IKS im Konzern neu aufzustellen und an die neuen Gegebenheiten anzupassen. Im Rahmen des daraufhin gestarteten IKS-Projekts wurde in einem ersten Schritt eine Analyse der aktuellen Situation durchgeführt, um die wesentlichen Handlungsfelder zu identifizieren. Darauf aufbauend wurde im Anschluss im Rahmen einer Designphase das Konzept des „IKS neu“ erarbeitet. Die wesentliche Neuerung stellt die Vereinheitlichung eines gruppenweiten Risikokatalogs und die Fokussierung auf die für die Gruppe und Konzerngesellschaften relevanten operationellen Risiken dar. Die Praxistauglichkeit des neuen Ansatzes wurde ausführlich in zwei Pilotversuchen an ausgewählten Prozessen in Österreich und Polen getestet.
Das Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) hat umfangreiche Maßnahmen von UNIQA erfordert. Durch die Implementierung eines Datenschutzmanagementsystems (DSMS) können das hohe finanzielle Risiko (mit dem Strafrahmen von 20 Millionen Euro bzw. 4 Prozent des Jahresumsatzes) sowie das Reputationsrisiko bei Vorfällen bzw. fehlender Compliance strukturiert behandelt werden. Datenschutz ist ein integrierter Bestandteil der UNIQA Organisation und wird in einem kontinuierlichen Verbesserungsprozess laufend weiterentwickelt. So sind Datenschutzkoordinatoren in allen signifikanten Fachbereichen aktiv sowie tragfähige Datenschutzprozesse im Einsatz. Bei der Durchsetzung von Betroffenenrechten konnte ein hoher Reifegrad erreicht werden. Zukünftige Schwerpunkte des Umsetzungsprojekts sind die Weiterentwicklung von sicherer Kommunikation und die Umsetzung von technischen und organisatorischen Maßnahmen.
Versicherungen müssen sich in einer sich ständig verändernden Risikolandschaft bewegen, die neue umweltpolitische, technologische, geopolitische, wirtschaftliche und rechtliche Entwicklungen sowie deren gegenseitige Abhängigkeiten beinhaltet. Im Jahr 2018 entwickelte UNIQA daher einen strukturierten Prozess, bei dem potenzielle Emerging Risks identifiziert, deren Auswirkungen auf unser Portfolio bewertet und die Ergebnisse analysiert und in einem Bericht zusammengefasst werden. Der Vorgang wurde dieses Jahr zum ersten Mal durchgeführt. Mittels Fragebogen wurden das Management von UNIQA sowie Experten in den Prozess involviert, wodurch folgende drei aufkommenden Risken als die für UNIQA am relevantesten beurteilt wurden: Cyberrisiko, Wettbewerb durch InsurTech sowie Veränderungen im Wetter und Naturkatastrophen. Der Emerging-Risk-Prozess wird jährlich durchgeführt. Darüber hinaus ist UNIQA Mitglied des CRO-Forums, das sich in einer eigenen Arbeitsgruppe mit dem Thema beschäftigt.
Die zunehmende Besorgnis über Sicherheitsrisiken dominiert nach wie vor die Diskussionen in fast allen Foren der Industrie und des öffentlichen Sektors. Auch die IT-Systeme und Applikationen von UNIQA sind diversen Sicherheitsrisiken ausgesetzt. Je nach ihrer Bedeutung für unser Geschäft können ihre Verluste oder Beeinträchtigungen das Unternehmen oder einzelne Geschäftsbereiche ernsthaft schädigen. Um diesem Fakt entgegenzuwirken, hat die UNIQA Group im Jahr 2018 eine Cyberversicherung abgeschlossen. Gedeckt sind im Rahmen der Polizze Eigenschäden und Zusatzkosten durch böswillige Angriffe, unbeabsichtigte Vorfälle und der Verlust personenbezogener Daten. Als Beispiel der Kosten können die Untersuchung durch interne und externe Spezialisten oder die Wiederherstellung der Daten und die Reparatur der IT-Systeme genannt werden. Ein weiterer Punkt, welcher im Rahmen der Versicherung gedeckt ist, sind Drittschäden wie die Haftung gegenüber Dritten für Vermögensschäden, die diesen entstanden sind (Entschädigungsansprüche und Verteidigungskosten). Mit dem Abschluss der Versicherung hat UNIQA einen wichtigen Schritt bei der Implementierung des ganzheitlichen Schutzes von materiellen und immateriellen Vermögenswerten gemacht.