„Own Risk and Solvency Assessment“ in Versicherungsunternehmen
1. Der Begriff „Own Risk and Solvency Assessment“ und regulatorischer Rahmen
Mit der Einführung von Solvency II wird von Versicherungsunternehmen in Europa gefordert, eine regelmäßige, mindestens jährliche unternehmenseigene Beurteilung der individuellen Risiko- und Solvabilitätssituation vorzunehmen. Die regulatorische Grundlage zum „Own Risk and Solvency Assessment“ (ORSA) findet sich in Art. 45 der Rahmenrichtlinie zu Solvency II (Europäische Union [Solvabilität II, 2009]) (fortan Rahmenrichtlinie). Formal ist ORSA Bestandteil der Governance-Anforderungen und damit der zweiten Säule von Solvency II. Die Rahmenrichtlinie fordert von Versicherungsunternehmen im Rahmen des ORSA, ihren individuellen Gesamtsolvabilitätsbedarf unter Berücksichtigung von quantitativen und qualitativen Methoden zu ermitteln sowie sicherzustellen, dass die Anforderungen an das regulatorische Eigenkapital und die versicherungstechnischen Rückstellungen kontinuierlich eingehalten werden. Nach den Vorgaben wird zudem erwartet, dass das ORSA integraler Bestandteil der Geschäftsstrategie ist und in strategische Entscheidungen einfließt.
Das ORSA umfasst die Gesamtheit aller Prozesse und Verfahren, die dazu dienen, bestehende oder potenzielle zukünftige Risiken zu identifizieren, zu beurteilen, zu überwachen, zu steuern, über sie zu berichten und die Eigenmittel zu bestimmen, die nötig sind, um den unternehmensindividuellen Gesamtsolvabilitätsbedarf jederzeit erfüllen zu können.
Als ganzheitlicher Ansatz zur Einschätzung der Risiko- und Solvabilitätssituation umfasst das ORSA diverse Prozesse im Versicherungsunternehmen und involviert damit auch unterschiedliche Abteilungen. Wesentlich ist das unter Solvency II grundlegende Prinzip der Proportionalität, wonach die Unternehmen das ORSA individuell nach ihrer Größe und der Art der eingegangenen Risiken und deren Komplexität zu entwickeln haben. Wichtige Ergebnisse des ORSA sind eine quantitative Selbsteinschätzung des Gesamtsolvabilitätsbedarfs sowie abgeleitete Maßnahmen zur Verbesserung der Risiko- und Solvabilitätssituation, falls erforderlich.
Das ORSA ist mindestens als jährlicher Prozess durchzuführen, und dessen Ergebnisse sind im Rahmen der internen Berichterstattung an die Geschäftsführung zu übermitteln sowie von dieser zu verabschieden. Über die Ergebnisse des ORSA ist die zuständige Aufsichtsbehörde spätestens zwei Wochen nach Genehmigung des internen Berichts zu informieren.
Für die Gestaltung des ORSA in Versicherungsgruppen gelten besondere aufsichtsrechtliche Anforderungen. Das ORSA ist hier sowohl auf Einzelgesellschaftsebene als auch auf Gruppenebene durchzuführen und aus Gruppensicht um die Berücksichtigung von gruppenspezifischen Risiken (wie etwa Konzentrations- oder Ansteckungsrisiken) zu erweitern. Im Rahmen des Gruppen-ORSA sind sämtliche Einzelgesellschaften zu erfassen, von denen wesentliche Risiken für die Gruppe ausgehen. Hierzu zählen auch Gesellschaften, die versicherungsfremdem Geschäft nachgehen (z.B. Kapitalanlagegesellschaften, Banken, Vertriebsgesellschaften, Pensionskassen etc.) und/oder die nicht im Europäischen Wirtschaftsraum angesiedelt sind.
2. Wesentliche Elemente des ORSA
Das ORSA wird von der EIOPA durch Prinzipien definiert, die die Versicherungsunternehmen bei der Implementierung einzuhalten haben. Zu den wesentlichen Grundprinzipien zählen:
- Verpflichtung: Jedes Versicherungsunternehmen, das der Solvency-II-Regulierung unterliegt, hat mindestens jährlich ein ORSA durchzuführen.
- Individualität: Das ORSA bedarf einer unternehmensindividuellen Umsetzung.
- Zukunftsbezug: Das ORSA hat eine vorausschauende Perspektive einzunehmen und neben der aktuellen auch die zukünftige Risiko- und Solvabilitätssituation zu berücksichtigen.
Aus diesen grundlegenden Prinzipien lassen sich Elemente ableiten, die das ORSA zu umfassen hat. Abb. zeigt eine beispielhafte Ausgestaltung eines ORSA-Prozesses mit dessen wesentlichen Elementen. Sowohl bei der inhaltlichen als auch der zeitlichen Ausgestaltung lässt der Regulator den Unternehmen gewisse Spielräume. So ist es bspw. auch möglich, den ORSA-Bericht parallel oder im Nachgang zur Planung im Zeitraum Oktober bis Dezember eines Jahres zu erstellen. Im Folgenden werden diese Elemente beispielhaft näher beleuchtet.
Abb.: Beispiel eines ORSA-Prozessablaufs.
Risikoanalyseprozesse innerhalb des ORSA unterscheiden sich häufig zwischen Risiken, die nach mathematisch/statistischen Grundsätzen modellierbar sind, und Risiken, für die dies nur schwer oder gar nicht möglich ist. Im Folgenden werden Risiken der ersten Kategorie als „quantifizierbar“ und Risiken der zweiten Kategorie als „schwer quantifizierbar“ bezeichnet. Zu den quantifizierbaren Risiken zählen bspw. versicherungstechnische Risiken, Markt- oder Kreditrisiken, die unter Solvency II in der Standardformel berücksichtigt sind oder die mit einem internen Modell berechnet werden. Beispiele für schwer quantifizierbare Risiken sind Reputationsrisiken, strategische Risiken und neu entstehende Risiken („Emerging Risks“), die aufgrund ihrer Charakteristik alternative Instrumente und Expertenschätzungen zur Bewertung benötigen. Zudem gibt es Risiken, für die Modellierungsansätze existieren, die in der Praxis dennoch als schwer quantifizierbar gelten, wie bspw. Liquiditätsrisiken und operationelle Risiken.
a) Quantitative Risikoanalyse
Die Eigenkapitalanforderungen unter der ersten Säule von Solvency II verpflichten Versicherungsunternehmen, ihren regulatorischen Risikokapitalbedarf entweder mit Hilfe der europaweit einheitlichen Standardformel oder mit einem unternehmensindividuellen internen Modell zu berechnen.
Verwendet ein Unternehmen ein (partielles) internes Modell, so stellen dessen Ergebnisse den wesentlichen Ausgangspunkt bei der Ermittlung des Gesamtsolvabilitätsbedarfs dar. Die Risikopositionen der modellierten Risikokategorien werden mit Hilfe des internen Modells quantifiziert. Durch die Anforderungen an die Verwendung eines internen Modells werden die betreffenden Unternehmen verpflichtet, Modellergebnisse bei Unternehmensentscheidungen zu berücksichtigen (siehe etwa die Anforderungen aus Art. 120 der Rahmenrichtlinie an den Verwendungstest) sowie die Angemessenheit der Modellierung durch eine regelmäßige unabhängige Validierung nachzuweisen. Die modellierten Risikopositionen sind durch das interne Modell zu überwachen und aktiv zu steuern. Erkenntnisse aus dem ORSA (z.B. der qualitativen Risikoanalyse) sollten zur Identifikation von Modellschwächen genutzt werden und eventuelle Modelländerungen initiieren. Umgekehrt sollen Erkenntnisse aus der Modellvalidierung mit in das ORSA einfließen.
Entscheidet sich ein Unternehmen, die Standardformel zur Bestimmung des Solvency Capital Requirement (SCR) zu verwenden, so bilden die damit ermittelten Ergebnisse die wesentliche Basis im ORSA-Prozess. Da die Standardformel für sämtliche Versicherungsunternehmen einheitliche Parameter vorsieht, ist als Teil des ORSA die Angemessenheit der Standardformel für das jeweilige Risikoprofil zu analysieren. Bei der Analyse des individuellen Risikoprofils ist bspw. zu prüfen, inwiefern besondere Eigenschaften des Geschäftsmodells von der Standardformel berücksichtigt werden. Dazu sind qualitative Analysen, bei signifikanten Abweichungen auch quantitative Techniken anzuwenden, wie z.B. das „Backtesting“ von Ergebnissen oder die statistische Analyse der Kalibrierung und der Korrelationsannahmen der Standardformel. Gegebenenfalls müssen die Unternehmen im Rahmen des ORSA zusätzliche Risikopositionen quantifizieren, die nicht oder nicht ausreichend durch die Standardformel berücksichtigt sind. Auch für diese zusätzlichen Risikopositionen haben die Unternehmen entsprechendes Risikokapital vorzuhalten (als Beitrag zur Deckung des Gesamtsolvabilitätsbedarfs), obwohl es hierfür keine regulatorischen Risikokapitalanforderungen (SCR) im Sinne der Säule 1 von Solvency II gibt.
b) Qualitative Risikoanalyse
Sowohl Nutzer der Standardformel als auch Nutzer eines internen Modells haben im Rahmen des ORSA alle materiellen Risiken zu analysieren. Hierzu sind in Abhängigkeit von der Risikocharakteristik unterschiedliche Techniken der qualitativen Risikoanalyse einzusetzen. Zunächst sind sämtliche Einzelrisiken zu identifizieren, mittels geeigneter Bewertungssysteme zu messen und zu überwachen. Die Erhebung einzelner Risiken erfolgt im Sinne einer Risikoinventur und umfasst quantifizierbare und schwer quantifizierbare Risiken. Neben der Einzelrisikoerhebung ist eine Betrachtung kumulierter Risiken und existierender Abhängigkeiten notwendig. Die erhobenen Einzelrisiken sind zu kategorisieren und hinsichtlich ihrer Signifikanz einzuschätzen; ein existierender Risikokatalog ist regelmäßig auf seine Aktualität hin zu überprüfen. Zur Einstufung von Risiken ist ein einheitliches Bewertungsverfahren einzusetzen und zur Abschätzung ihrer Materialität sind risikomindernde Maßnahmen für die verschiedene Risiken zu identifizieren und hinsichtlich ihrer Effektivität zu bewerten. Erhobene Risiken sind aktiv zu überwachen, zu steuern und in die Berichterstattung einzubinden. Von besonderem Interesse sind Risiken, die vom Management zukünftig als Top-Risiken angesehen werden.
Für schwer quantifizierbare Risiken stellt die qualitative Risikoanalyse eine Herausforderung dar. Ein Beispiel stellen Reputationsrisiken dar, die sich schwer messen lassen und oftmals in Kombination mit weiteren Risikoarten auftreten, die u.U. schwer trennbar sind. Dennoch ist es im Rahmen des ORSA notwendig, diese Risiken auch quantitativ zu analysieren. Neben Reputationsrisiken sind insbesondere strategische Risiken und neu auftretende Risiken („Emerging Risks“) einzubeziehen. Unternehmen haben hierzu geeignete Bewertungssysteme zu entwickeln und zu verwenden.
c) Stress- und Szenariotests
Ein wesentliches Element des ORSA-Prozesses stellen Stresstests und Szenarioanalysen dar. Im Rahmen eines Stresstests wird die Auswirkung eines außergewöhnlichen, aber prinzipiell realistischen Ereignisses auf die (finanzielle) Lage des Unternehmens quantitativ und qualitativ analysiert, während in Szenarioanalysen Kombinationen von Ereignissen und deren Folgen untersucht werden. Die Anwendung von inversen Stresstests dient der Identifikation und Bewertung von Szenarien, die einen Ruin oder ein anderweitig negatives Ergebnis nach sich ziehen. Häufig sind für die oben angesprochenen Top-Risiken weitere Analysen, wie Szenarioanalysen, notwendig, die auch eine besondere Bedeutung im Rahmen des ORSA erlangen. Dabei sind die Abläufe der Stresstests und Szenarioanalysen zu definieren.
d) Verknüpfung zum Strategie- und Planungsprozess
Ein Grundprinzip des ORSA liegt in dessen vorausschauender Natur bei einer mittel- bis langfristigen Perspektive. Neben der Analyse der aktuellen Risikoposition bedeutet dies, dass Unternehmen Risiken erkennen und beurteilen müssen, denen sie mittel- bis langfristig ausgesetzt sein können. Hierzu sind Bewertungsmethoden angemessen zu definieren und Vorkehrungen zu treffen.
Die Forderung der vorausschauenden Perspektive zieht eine Verknüpfung des ORSA mit verschiedenen strategischen und operativen Planungsprozessen innerhalb des Unternehmens nach sich. Dies impliziert damit auch die Notwendigkeit, die ökonomische Bilanz und das regulatorische Risikokapital sowie die im ORSA ermittelte Gesamtsolvabilität unter Solvency II mehrjährig zu projizieren.
Das ORSA hat in die strategische Planung des Unternehmens einzufließen und zu strategischen Entscheidungen beizutragen. Dies beinhaltet, dass Erkenntnisse des ORSA in den strategischen Planungsprozess integriert und Entscheidungen unter Risikogesichtspunkten Abwägung finden müssen. Im Rahmen der strategischen Planung wird vom Management i.d.R. eine Einschätzung der strategischen Risiken des Unternehmens vorgenommen, die sodann in die qualitative Risikoanalyse aufzunehmen sind.
Außer in die strategische Planung ist das ORSA auch in den operativen Planungsprozess zu integrieren. Wenn Planzahlen für Folgejahre definiert werden, müssen die Unternehmen die Auswirkungen auf das zukünftige Risikoprofil, die sich durch den Ansatz der jeweiligen Planzahlen ergeben, erkennen und quantifizieren. Bspw. ist die Veränderung des SCR oder der anrechenbaren Eigenmittel, die sich unter den angesetzten Planungsannahmen ergibt (wie z.B. die Veränderung des SCR unter dem geplanten Neugeschäftsvolumen), über die nächsten Jahre zu quantifizieren. Diese Quantifizierung ist sowohl für den Fall der bestmöglichen Schätzung vorzunehmen, als auch unter geeigneten negativen Szenarien. Die Festlegung der Planzahlen hat dann in dem Bewusstsein stattzufinden, welche zukünftige Risikoposition damit eingegangen wird.
Das ORSA erfordert eine mehrjährige Projektion der ökonomischen Bilanz. Hierzu sind geeignete Verfahren abhängig vom individuellen Risikoprofil und der Komplexität der Risiken zu wählen. Diese reichen von einfachen Skalierungsansätzen mit pauschalen Annahmen bis hin zu aktuariellen stochastischen Cash-Flow-Modellen. In jedem Fall sind die gewählten Methoden und Annahmen hinsichtlich ihrer Angemessenheit zu begründen und zu dokumentieren. Neben der Projektion der ökonomischen Bilanz ist auch eine Projektion des SCR über den Geschäftsplanungshorizont notwendig. Für beide Projektionen müssen insbesondere zukünftige Änderungen des Risikoprofils und der Geschäftsstrategie berücksichtigt sowie die erwartete Geschäftszusammensetzung und das Geschäftsvolumen zum Ende des Projektionszeitraums betrachtet werden.
Die Erkenntnisse dieser Projektionen sollten bei der Definition des Risikoappetits Berücksichtigung finden. Mit Hilfe der Definition des Risikoappetits lassen sich anschließend Limite und Schwellenwerte auf operativer Ebene über Risikokennzahlen definieren und zur Risiko- und Geschäftssteuerung nutzen.
e) Kapitalmanagement
Durch die vorausschauende Perspektive des ORSA ist ebenfalls der Kapitalplanungsprozess betroffen. Der Kapitalplanungsprozess beinhaltet die Analyse der zukünftigen Zusammensetzung der vorhandenen Eigenmittel sowie die prospektive Definition von Maßnahmen, um im Bedarfsfall Kapital beschaffen zu können oder Risiken und zugehörige Risikokapitalanforderungen zu reduzieren.
Solvency II fordert, dass der ermittelte Risikokapitalbedarf mit geeigneten Eigenmitteln bedeckt wird. Eigenmittel werden anhand von Qualitätsmerkmalen klassifiziert, wie etwa der Nachrangigkeit, der Verlustausgleichsfähigkeit, der Verfügbarkeit oder der Freiheit von sonstigen Belastungen. So ist etwa das SCR gem. Art. 82 der Delegierten Verordnung (EU) 2015/35 mindestens zur Hälfte mit Kapital der höchsten Qualität („Tier 1“) zu bedecken und maximal bis zu 15 % mit Kapital der niedrigsten Qualität („Tier 3“). Nach nationalem Recht ist das SCR zu mindestens einem Drittel mit Kapital der höchsten Qualität und mit maximal einem Drittel mit Kapital der niedrigsten Qualität zu bedecken, vgl. § 94 VAG.
Im Rahmen des Kapitalplanungsprozesses haben Versicherungsunternehmen Vorkehrungen zu treffen, um die Bedeckung des Risikokapitalbedarfs mit Kapital angemessener Qualität zukünftig zu gewährleisten. Möglich ist bspw. die Freisetzung von Risiken im Bedarfsfall, was eine Reduktion des benötigten Risikokapitals zur Folge hat. In Abhängigkeit von der Gesellschaftsform stehen Versicherungsunternehmen unterschiedliche Maßnahmen zur Verfügung, um zusätzliches Kapital zu generieren und zur Bedeckung des Risikokapitalbedarfs zu verwenden.
Versicherungsgruppen haben zudem regulatorische Anforderungen an die Verlustausgleichsfähigkeit und die Übertragbarkeit von Kapital innerhalb der Gruppe zu erfüllen.
f) Gesamtsolvenzbeurteilung
Jedes ORSA schließt mit einer finalen Einschätzung der Höhe des Gesamtsolvabilitätsbedarfs unter Berücksichtigung sämtlicher ORSA-Elemente. Der Gesamtsolvabilitätsbedarf ist mit den vorhandenen Eigenmitteln zu vergleichen und zu decken. Beide Werte gemeinsam (der Gesamtsolvabilitätsbedarf und dessen tatsächliche Bedeckung mit Eigenmitteln) repräsentieren die quantitative Selbsteinschätzung des Unternehmens bez.. ihrer Solvabilitätsposition zum Stichtag und für die Zukunft.
Falls die Geschäftsführung am Ende des ORSA-Prozesses zum Ergebnis kommt, dass die aktuelle und zukünftige Risikoposition nicht angemessen ist, so sind entsprechenden Maßnahmen zu definieren und durchzuführen.
g) Dokumentation, Berichtswesen und Governance
Versicherungsunternehmen sind verpflichtet, eine verbindliche ORSA-Richtlinie zu etablieren, die durch die Geschäftsleitung genehmigt werden muss. Diese Richtlinie definiert den ORSA-Prozess sowie seine verschiedenen Komponenten und Regelungen zur Durchführung. Es sind Vorkehrungen zu treffen, die es ermöglichen, neben dem jährlichen Prozess bei spontaner und signifikanter Änderung des Risikoprofils ein außerplanmäßiges Ad-hoc-ORSA anzustoßen. Dazu bedarf es der Definition von Auslöseereignissen und Schwellenwerten.
Die Geschäftsleitung trägt die Gesamtverantwortung für das ORSA und genehmigt den Ablauf, die geeignete Einbindung aller erforderlichen Unternehmensabteilungen (z.B. versicherungsmathematische Funktion) sowie die Ergebnisse des ORSA. Dabei ist jede Durchführung des ORSA mit einem internen Bericht an die Geschäftsführung abzuschließen, welcher die Ergebnisse und mögliche Folgerungen zusammenfasst. Die interne ORSA-Berichterstattung ist in das existierende interne Berichtswesen (wie etwa der Risikoberichterstattung) zu integrieren. Zusätzlich ist ein externer ORSA-Bericht an die zuständige Aufsichtsbehörde zu erstatten. Dieser Bericht enthält mindestens die Ergebnisse des ORSA, kann aber auch deckungsgleich mit dem internen Bericht an das Management sein. Der ORSA-Bericht an die Aufsichtsbehörde stellt neben weiteren Anforderungen ein zentrales Element der dritten Säule von Solvency II dar.
3. Ausgewählte Umsetzungsherausforderungen
Obwohl das ORSA als Teil der Anforderungen an das Governance-System einen Bestandteil der zweiten Säule unter Solvency II darstellt, sind die wesentlichen Elemente stark quantitativ im Sinne der Säule 1 geprägt.
Von entscheidender Bedeutung ist die frühzeitige Einbindung des Top-Managements, das das ORSA neben der wertorientierten Steuerung als Schnittstelle zwischen dem Risikomanagement und den Geschäftsprozessen verwenden sollte.
Das ORSA weist einen hochgradig interdisziplinären Charakter auf und sollte im Unternehmen nicht als alleinige Aufgabe des Risikomanagements wahrgenommen werden. Der ganzheitliche Ansatz erfordert die Etablierung eines Bewusstseins für die unternehmenseigene Risikokultur und die Sensibilisierung für die verschiedenen Elemente des ORSA. Durch die unternehmensindividuelle Gestaltungsfreiheit des ORSA besteht die Notwendigkeit, existierende Strukturen und Abläufe zu nutzen und zu ergänzen, um den zusätzlichen Anforderungen unter Solvency II gerecht zu werden.
Literatur: Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), Auslegungsentscheidungen: ORSA; Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (Hrsg.), EIOPA-BoS-14/259 DE, Leitlinien für die unternehmenseigene Risiko- und Solvabilitätsbeurteilung; Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (Hrsg.), EIOPA Final Report on Public Consultation No. 11/008 On the Proposal for Guidelines On Own Risk and Solvency Assessment”, EIOPA-258/127, Frankfurt/Main 2012; Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (Hrsg.), EIOPA Final Report on Public Consultation No. 13/009 on the Proposal for Guidelines on Forward Looking Assessment of Own Risks (based on the ORSA Principles), EIOPA/13/414, Frankfurt/Main 2013; Europäische Union (Hrsg.), Delegierte Verordnung (EU) 2015/35 der Kommission vom 10. Oktober 2014 zur Ergänzung der Richtlinie 2009/138/EG des Europäischen Parlaments und des Rates betreffend die Aufnahme und Ausübung der Versicherungs- und der Rückversicherungstätigkeit (Solvabilität II), 2014; Europäische Union (Hrsg.), Richtlinie des Europäischen Parlaments und des Rats betreffend die Aufnahme und Ausübung der Versicherungs- und der Rückversicherungstätigkeit (Solvabilität II), Straßburg 2009; Gesetz über die Beaufsichtigung der Versicherungsunternehmen (Versicherungsaufsichtsgesetz, VAG).
Autor(en): Andreas Schlögl, Steffen Horbach