Vor dem Hintergrund der 2016 bevorstehenden Anwendung der neuen Eigenkapitalregelungen unter Solvency II stehen die operationellen Risiken bei Versicherungsunternehmen zunehmend im Fokus. Nach 2011 hat die Dr. Peter & Company AG in Kooperation mit dem Lehrstuhl für Finanzdienstleistungscontrolling der Wiesbaden Business School, Hochschule RheinMain, zum zweiten Mal eine deutschsprachige und branchenspezifische Studie zum Thema Management und Controlling operationeller Risiken (OR) in der Versicherungswirtschaft durchgeführt.
Für die Durchführung der Studie konnten insgesamt 15 teilnehmende Versicherungsunternehmen gewonnen werden. Dies entspricht einer Abdeckung des Marktes von mehr als 80 Prozent (gemessen an den gebuchten Bruttobeiträgen 2014). Weiterhin befinden sich unter den 15 Teilnehmern neun der Top 20 Versicherungsunternehmen. Drei Viertel der Teilnehmer nahmen bereits an der ersten Studie zu diesem Thema in 2011 teil.
Zum Zwecke einer differenzierteren Darstellung und um dem Größenunterschied der Teilnehmer Rechnung zu tragen, wurden einige Ergebnisse Peer Group-spezifisch erhoben. Hierzu wurden zwei Peer Groups gebildet:
- Peer Group 1: Teilnehmer mit Bruttobeitragseinnahmen (2014) < 2 Mrd. Euro (7 VU).
- Peer Group 2: Teilnehmer mit Bruttobeitragseinnahmen (2014) > 2 Mrd. Euro (8 VU).
Die Studie deckt aktuelle Trends und Entwicklungen sowie damit verbundene Herausforderungen zur Thematik der operationellen Risiken (OR) in der Assekuranz auf und untersucht dabei schwerpunktmäßig die in der Branche verwendeten Ansätze, Methoden und Instrumente.
Die Analyse der Rückläufe zeigt, dass bestehende Instrumente zum Management und Controlling von OpRisk im Durchschnitt besser bewertet werden als noch 2011 (siehe Abb. 01 unten, Durchschnittsnoten unter den Instrumenten). Gleichzeitig zeigt sich, dass die Anzahl der eingesetzten Instrumente von der Größe des Unternehmens abhängig ist. Der Fokus der VU liegt bei der Auswahl der Instrumente eher auf qualitativen und ex-ante bezogenen Instrumenten.
Abb. 01: Eingesetzte Instrumente nach Peer Groups
Self Assessment und Szenarioanalyse dominieren
Die Auswertung des Einsatzes der verschiedenen Instrumente zeigt, dass die ex-ante-Instrumente Self Assessment und Szenarioanalyse sowohl für das Management als auch die Quantifizierung operationeller Risiken eine zentrale Bedeutung haben.
Bei der Bewertung der Risiken im Rahmen des Self Assessments wird ein stärkerer Fokus auf qualitative Einschätzungen gelegt, quantitative Bewertungen verlieren hier an Bedeutung. Eine Schadensfalldatenbank ist – abweichend zur Bankenbranche – noch nicht durchgängig im Einsatz, allerdings steigt ihre Bedeutung zunehmend. Externe Daten (beispielsweise über Datenkonsortien) sind insgesamt weiterhin eher selten im Einsatz (in der Regel bei großen Versicherungsunternehmen). Wenn sie allerdings eingesetzt werden, sind die genutzten Quellen wesentlich diversifizierter als noch 2011. Als weitere Instrumente zum Management operationeller Risiken sind ein Reporting und Maßnahmenmanagement Standard. Die Kapitalallokation wird hingegen hauptsächlich von größeren Unternehmen eingesetzt.
Die Studienergebnisse zeigen insgesamt, dass die eingesetzten Instrumente für OpRisk in den Versicherungsunternehmen einen gewissen Reifegrad erreicht haben. Jedoch deuten insbesondere die Einschätzungen hinsichtlich Self Assessments und Szenarioanalysen darauf hin, dass die Methoden noch nicht robust ausgestaltet sind. Im Falle der Szenarioanalyse weisen sowohl die in Relation geringere Verbreitung als auch die Unterschiede in der Erhebung der Größen der Szenarioanalyse darauf hin. Unterstützt wird diese These durch die vergleichsweise schlechte Bewertung der Methode.
Standardansatz dominiert – Relevanz interner Modelle steigt
Die Antworten bezüglich der eingesetzten Modelle zeigen zunächst, dass in der Säule 1 der Standardansatz immer noch am weitesten verbreitet ist (vgl. Abb. 02). Interne Modelle werden derzeit noch fast ausschließlich von größeren Instituten genutzt. In der Säule II werden, auch von kleineren Versicherungsunternehmen, interne Modelle zunehmend eingeführt (vgl. Abb. 03). Allerdings ist der Standardansatz auch hier noch weit verbreitet. Die internen Modelle bauen dabei zumeist auf Szenarioanalysen beziehungsweise Self Assessments auf. Die Studienergebnisse zeigen, dass mit zunehmendem Reifegrad des OR-Managements die Bedeutung von internen Modellen und der damit verbundenen verbesserten Steuerungsfähigkeit steigt. Aktuell werden die fortgeschrittenen Methoden aufgrund des höheren Ressourcenbedarfs eher von größeren Versicherungsunternehmen angewandt. Es ist zu erwarten, dass interne Modelle in Zukunft auch für kleinere und mittelgroße Versicherer größere Bedeutung gewinnen.
Abb. 02: Säule 1 - Internes Modell vs. Standardansatz
Abb. 03: Säule 2 - Internes Modell vs. Standardansatz
Reputationsrisiko mit hoher Relevanz
Die Untersuchung anderer (verwandter) Risikoarten zeigt bemerkenswerte Ergebnisse. Das Reputationsrisiko (RepRisk) wird definierte als die Gefahr, dass aus Sicht einer Interessensgruppe der Gesellschaft ein Vertrauens- oder Ansehensverlust entsteht und dieser zu direkten oder indirekten Schäden für das Unternehmen führt.
Eine interessante Erkenntnis ist, dass ausnahmslos alle Teilnehmer das Reputationsrisiko als eigenständige Risikoart definiert haben. Weiterhin wurde das Reputationsrisiko von der überwiegenden Mehrheit der Teilnehmer als wesentliche Risikoart identifiziert.
Bereits im Jahr 2012 hatte die Technische Universität Graz in Kooperation mit dem Kompetenzportal RiskNET eine empirische Umfrage zum Status Quo des Reputations-Risikomanagements durchgeführt, an der sich über 400 Risikomanagement-Experten unterschiedlicher Branchen beteiligt haben [vgl. Bauer/Romeike/Weißensteiner 2012].
Auf die Frage, ob Reputationsrisiken bereits in den vorliegenden Risikomanagementsystemen mitberücksichtig werden, gab beinahe ein Viertel (24,4 Prozent) aller befragten Unternehmen an, dass diese Risikoart keine Berücksichtigung findet (vgl. Abb. 04).
Abb. 04: Aktuelle Mitberücksichtigung von Reputationsrisiken im Risikomanagement [Quelle:
Bauer/Romeike/Weißensteiner 2012]
Wie Abb. 04 zeigt, liegen hier zum Teil deutliche Branchenunterschiede vor: Lediglich 4,2 Prozent der Versicherungsunternehmen gaben an, dass Reputationsrisiken nicht berücksichtigt werden. Im Umkehrschluss bedeutet dies, dass und 95 % der Versicherungsunternehmen bereits heute Reputationsrisiken explizit oder implizit im Risikomanagement berücksichtigen. Diese Ergebnisse werden durch die aktuelle Studie bestätigt und dokumentieren die hohe Relevanz des "weichen" Faktors Reputation für die Assekuranz. Das Management von Reputationsrisiken sollte integraler Bestandteil einer guten Corporate Governance sowie eines unternehmensweiten Risikomanagements sein. Dies gilt im Besonderen für Versicherungsunternehmen, deren Geschäftsmodell auf Vertrauen und einer adäquaten Reputation aufbaut. Ein funktionierendes Qualitätsmanagement, eine hohe Marken- und Mitarbeiterattraktivität aber auch die Aspekte Corporate Social Responsibility und Innovation sind wesentliche Treiber für die Reputation eines Unternehmens.
Die RiskNET-Studie hat vor allem verdeutlicht, dass das Management von Reputationsrisiken kein opportunistisches Lippenbekenntnis sein darf. Der deutsche Industrielle, Ingenieur und Erfinder Robert Bosch hatte dies bereits im Jahr 1921 erkannt. "Immer habe ich nach dem Grundsatz gehandelt: Lieber Geld verlieren als Vertrauen. Die Unantastbarkeit meiner Versprechungen, der Glaube an den Wert meiner Ware und an mein Wort standen mir stets höher als ein vorübergehender Gewinn".
Compliancerisiken stehen auf der Agenda
Weiterhin besitzen Rechtsrisiken, das heißt sowohl Rechtsrisiken im klassischen Sinne als auch das Rechtsänderungsrisiko, eine hohe Relevanz für Versicherungsunternehmen. Rechtsrisiko im klassischen Sinne bezeichnet die Gefahr, dass aufgrund fehlender bzw. unvollständiger Berücksichtigung des durch Rechtsvorschriften und die Rechtsprechung vorgegebenen Rechtsrahmens ein Schaden entsteht. Unter Rechtsänderungsrisiko wird das Risiko eines Verlustes aufgrund neuer Gesetze oder Vorschriften, einer nachteiligen Änderung bestehender Gesetze oder Vorschriften beziehungsweise deren Interpretation oder Anwendung durch Gerichte verstanden.
Die Rechtsrisiken werden in der Assekuranz überwiegend von der Rechtsabteilung gesteuert. Dabei wird die Zusammenarbeit zwischen dem Risikocontrolling auf der einen Seite und der Rechtsabteilung beziehungsweise Compliance auf der anderen von den Unternehmen überwiegend als sehr gut bis gut eingeschätzt.
Fazit: Die Assekuranz beschäftigt sich zunehmend intensiver mit operationellen Risiken, Rechtsrisiken und Reputationsrisiken. Das Methodenset ist weitgehend etabliert und über die Branche standardisiert. In der Ausgestaltung der einzelnen Instrumente ist für viele Versicherungsunternehmen noch Optimierungspotenzial vorhanden.
Weitere Informationen und eine Kurzzusammenfassung der Studienergebnisse finden Sie hier.
Weiterführende Literaturhinweise:
Bauer, U./Romeike, F./Weißensteiner, C. (2012): Der gute Ruf als nachhaltiger Erfolgsfaktor – Management und Controlling von Reputationsrisiken, Studienergebnisse, RiskNET GmbH und Technische Universität Graz, Brannenburg und Graz 2012.