Auslegungsentscheidung zu den allgemeinen Governance

Auslegungsentscheidung zu den allgemeinen GovernanceAnforderungen an Versicherungsunternehmen
1. Januar 2016
Gliederung
I.
II.
III.
IV.
V.
VI.
VII.
VIII.
Anwendungsbereich
Proportionalität
Aufbau- und Ablauforganisation
Interne Überprüfung des Governance-Systems
Schriftliche Leitlinien
Das Verwaltungs-, Management- oder Aufsichtsorgan
Schlüsselfunktionen
Notfallpläne
I.
Anwendungsbereich
1
Diese Auslegungsentscheidung befasst sich mit dem Aufsichtssystem Solvabilität
II (Richtlinie 2009/138/EG) und richtet sich deshalb an alle inländischen Erst- und
Rückversicherungsunternehmen gemäß § 1 Absatz 1 Nummer 1 in Verbindung mit
§ 7 Nummern 33 und 34 VAG (im Folgenden „VAG-Unternehmen“), soweit sie
nicht Sterbekassen gemäß § 218 Absatz 1 VAG, Pensionskassen gemäß § 232 Absatz 1 VAG oder kleine Versicherungsunternehmen gemäß § 211 VAG sind oder
als Rückversicherungsunternehmen ihre Tätigkeit nach § 165 Absatz 1 VAG eingestellt haben.
2
Außerdem ist die Auslegungsentscheidung an alle Versicherungsgruppen gerichtet,
die ausschließlich aus inländischen Erst- und Rückversicherungsunternehmen bestehen, sowie an Versicherungsgruppen mit Erst- oder Rückversicherungsunternehmen in anderen Mitglied- oder Vertragsstaaten gemäß § 7 Nummer 22 VAG,
für die nach den in § 279 Absatz 2 VAG genannten Kriterien die Aufgabe der für
die Gruppenaufsicht zuständigen Behörde der BaFin zufällt, und an VersicherungsHoldinggesellschaften gemäß § 1 Absatz 1 Nummer 2 in Verbindung mit § 7
Nummer 31 VAG (im Folgenden „VAG-Unternehmen“).
3
Nicht angesprochen sind Erst- und Rückversicherungsunternehmen, die den Abschluss neuer Versicherungs- oder Rückversicherungsverträge zum 1. Januar 2016
eingestellt haben und ihr Portfolio ausschließlich mit dem Ziel verwalten, ihre Tätigkeit einzustellen, sowie die weiteren in § 343 VAG genannten Voraussetzungen
erfüllen.
II.
Proportionalität
4
Bei der Umsetzung der allgemeinen Governance-Anforderungen spielt das Proportionalitätsprinzip eine erhebliche Rolle. Die Anforderungen sind auf eine Weise zu
erfüllen, die der Wesensart, dem Umfang und der Komplexität der mit der Ge-
schäftstätigkeit des Unternehmens einhergehenden Risiken gerecht wird (§ 296
Absatz 1 VAG). Das Proportionalitätsprinzip knüpft also an das individuelle Risikoprofil eines jeden Unternehmens an.
5
Da es auf das unternehmensindividuelle Risikoprofil ankommt, ist stets eine Einzelfallbetrachtung erforderlich. Die Einschätzung, welche Gestaltung als proportional anzusehen ist, ist jedoch auch in Bezug auf das einzelne Unternehmen nicht
statisch, sondern passt sich im Zeitablauf den sich verändernden Gegebenheiten
an. In diesem Sinne haben die Unternehmen sowie die Versicherungsgruppen zu
prüfen, ob und wie die vorhandenen Strukturen und Prozesse weiter entwickelt
werden können und gegebenenfalls müssen.
6
Proportionalität betrifft nicht die Frage, ob die geltenden Anforderungen zu erfüllen sind. Sie wirkt sich nur darauf aus, auf welche Weise die Anforderungen erfüllt
werden können. Außerdem sind bei Unternehmen mit stärker ausgeprägtem Risikoprofil unter Umständen aufwändige Gestaltungen als proportional einzustufen.
7
Im Folgenden wird noch näher auf das Proportionalitätsprinzip eingegangen, etwa
im Zusammenhang mit dem Umfang und der Detailliertheit interner Leitlinien
(Randnummern 55 ff.) oder der Art und Weise der Einrichtung der Schlüsselfunktionen (Randnummern 109 ff.).
III. Aufbau- und Ablauforganisation
Allgemeines
8
Alle Unternehmen haben gemäß § 23 Absatz 1 VAG unter anderem über eine angemessene und transparente Organisationsstruktur zu verfügen.
9
Dabei sind die Unternehmen in der Ausgestaltung ihrer Aufbau- und Ablauforganisation grundsätzlich frei. Dies bedeutet, es ist den Unternehmen überlassen, im
Rahmen der einzuhaltenden Solvabilität II-Anforderungen zu entscheiden, welche
konkrete Organisationsstruktur für sie angemessen ist.
10
Sofern im Folgenden keine gruppenspezifischen Anmerkungen erfolgen, gelten die
Anforderungen an die Aufbau- und Ablauforganisation auf Ebene der einzelnen Unternehmen gemäß § 245 Absatz 1 VAG auf Gruppenebene entsprechend. Einige
Besonderheiten in Bezug auf die Gruppenebene sind unter den Randnummern 37
ff. dargestellt.
11
Im Zusammenhang mit dem Thema „Aufbau- und Ablauforganisation“ wird der in
der Solvabilität II-Richtlinie und in den EIOPA-Leitlinien zum Governance-System
(EIOPA-BoS-14/253; im Folgenden „EIOPA-Leitlinien“) verwendete Begriff Verwaltungs-, Management- oder Aufsichtsorgan (VMAO) national als Geschäftsleitung
verstanden.
Struktur der Aufbau- und Ablauforganisation
12
Die Unternehmen haben über eine angemessene Organisationsstruktur zu verfügen. Dies impliziert auch, dass die Unternehmen die Angemessenheit ihrer Aufbau- und Ablauforganisation bewerten. Bei dieser Bewertung müssen die Unternehmen vor allem die Wesensart, den Umfang und die Komplexität ihrer Ge-
schäftstätigkeit sowie die daraus resultierenden unternehmensindividuellen Risiken berücksichtigen.
13
Aufbau- und Ablauforganisation unterstützen die Ziele der Geschäfts- und Risikostrategie (strategische Ziele) und die Geschäftstätigkeit des Unternehmens. Insoweit könnte sich beispielsweise die Bedeutung der einzelnen Geschäftsaktivitäten im Zuschnitt von Geschäftsbereichen und Geschäftsleiterressorts sowie in der
quantitativen und qualitativen Personalausstattung niederschlagen.
14
Damit Aufbau- und Ablauforganisation fortdauernd angemessen sind und die strategischen Ziele sowie die Geschäftstätigkeit des Unternehmens unterstützen können, sollten diese Strukturen bei Änderungen der strategischen Ziele, der Geschäftstätigkeit oder des Geschäftsumfelds des Unternehmens innerhalb eines angemessenen Zeitraums angepasst werden können und gegebenenfalls angepasst
werden.
15
In diesem Zusammenhang ist es zweckmäßig, zum Beispiel bei Bestandsübertragungen, Änderungen der Gruppenstruktur oder dem Übergang in den Run-off
mögliche Maßnahmen zur Anpassung der Aufbau- und Ablauforganisation bereits
bei der Planung zu thematisieren.
Festlegung von Aufgaben, Verantwortlichkeiten und Berichtslinien
16
Eine angemessene transparente Aufbauorganisation erfordert eine klare Definition
und Abgrenzung von Aufgaben und Verantwortlichkeiten. Es ist eindeutig zu regeln, wer im Unternehmen für die Aufgaben zuständig ist und für Entscheidungen
verantwortlich zeichnet.
17
Grundsätzlich erscheint es bei der Abgrenzung der Zuständigkeiten auch sinnvoll,
Schnittstellen explizit zu berücksichtigen und die Vertretung zu regeln.
18
Aufgaben und Verantwortlichkeiten sind aufeinander abzustimmen.
19
Neben den Aufgaben und Verantwortlichkeiten sind auch die Berichtslinien klar
festzulegen. Dabei ist darauf zu achten, dass alle Personen im Unternehmen die
sie betreffenden Informationen unverzüglich erhalten und ihre Bedeutung erkennen können.
Angemessene Trennung der Zuständigkeiten
20
Im Rahmen einer angemessenen Organisationsstruktur wird von den Unternehmen auch eine angemessene Trennung der Zuständigkeiten erwartet. Ziel ist es,
potentielle Interessenkonflikte, denen Personen und Geschäftseinheiten bei der
Bewältigung ihrer Aufgaben unterliegen können, zu vermeiden.
21
Vor allem sind potentielle Interessenkonflikte zwischen dem Aufbau wesentlicher
Risikopositionen einerseits und deren Überwachung und Kontrolle andererseits zu
vermeiden.
22
Zu den mit wesentlichen Risiken behafteten Geschäftsabläufen zählen zumindest
das versicherungstechnische Geschäft einschließlich der Reservierung, das Kapitalanlagemanagement einschließlich des Aktiv-Passiv-Managements („Asset-
Liability-Management“; ALM), der Vertrieb und das passive Rückversicherungsmanagement.
23
Welche weiteren Geschäftsabläufe mit für das Unternehmen wesentlichen Risiken
einhergehen, haben die Unternehmen anhand geeigneter Kriterien zu überprüfen.
Hierfür ist es zweckmäßig, zunächst eine unternehmensindividuelle Wesentlichkeitsgrenze zu definieren. Wichtig ist, dass Wesentlichkeit in diesem Sinne über
das Verständnis von Wesentlichkeit nach vormaligem Recht hinausgeht.
24
In dieser Auslegungsentscheidung werden die Begriffe „materielle Risiken“ und
„wesentliche Risiken“ synonym verwendet, ebenso wie die Begriffe „Materialität“
und „Wesentlichkeit“. Zwar wird in der englischen Fassung der Solvabilität IIRichtlinie und der EIOPA-Leitlinien (etwa Leitlinie 19, Ziffer 1.54) einheitlich auf
„material risks“ abgestellt. Dieser Begriff wird aber unterschiedlich übersetzt, ohne
dass hiermit ein inhaltlicher Unterschied verbunden sein soll.
25
Im Hinblick auf eine gewissenhafte und ordnungsgemäße Geschäftstätigkeit sollte
es auch im Eigeninteresse eines Unternehmens liegen, effektive Verfahren und
Prozesse zu etablieren, um kontinuierlich potentielle Interessenkonflikte jedweder
Art aufzudecken und ihnen durch eine angemessene Trennung der Zuständigkeiten zu begegnen.
Festlegung ablauforganisatorischer Regelungen
26
Die Ablauforganisation hat sicherzustellen, dass die mit materiellen Risiken einhergehenden Prozesse und deren Schnittstellen angemessen gesteuert und überwacht werden. Dies setzt zunächst voraus, dass eine unternehmensindividuelle
Materialitätsgrenze festgelegt wird und alle Prozesse aus Risikosicht beurteilt werden.
27
Um eine angemessene Steuerung und Überwachung der identifizierten Prozesse
zu gewährleisten, sollten vor allem die einzelnen Prozessschritte, einschließlich der
erforderlichen Kontrollaktivitäten und gegebenenfalls Eskalationsschritte, die prozessspezifischen Zuständigkeiten und die Informationsflüsse klar festgelegt werden.
28
Dabei ist es im Hinblick auf die Kontrollaktivitäten in der Regel nicht erforderlich,
nach jedem einzelnen Prozessschritt umfangreiche Kontrollen durchzuführen.
Vielmehr kann es zunächst zweckmäßig sein, besonders risikobehaftete Prozessschritte zu identifizieren und zu kontrollieren.
29
Allerdings sollte im Rahmen eines soliden und vorsichtigen Managements unter
anderem auf eine unternehmensweit angemessene sowie konsistente Anwendung
von Risikomanagement- und internen Kontrollpraktiken geachtet werden.
30
Werden vom Unternehmen schriftliche Leitlinien erstellt, so sind auch die jeweiligen grundlegenden ablauforganisatorischen Regelungen in der zugehörigen Leitlinie festzuhalten (siehe unter den Randnummern 48 ff.). Umgekehrt sind bei der
konkreten Ausgestaltung einzelner (Teil-)Prozesse die in den schriftlichen Leitlinien
festgelegten unternehmensindividuellen Vorgaben zu berücksichtigen.
Umsetzung ablauforganisatorischer Regelungen
31
Für die ordnungsgemäße Erfüllung ihrer Aufgaben ist es wichtig, dass alle relevanten Mitarbeiterinnen und Mitarbeiter die sie betreffenden Arbeitsabläufe kennen,
das heißt, diesbezüglich informiert und geschult sind.
32
Um die sorgfältige und gewissenhafte Aufgabenwahrnehmung weiter zu unterstützen, empfiehlt sich die Erstellung und Umsetzung eines Verhaltenskodex für das
gesamte Personal, auch für die Geschäftsleitung, die Führungskräfte einschließlich
der Verantwortlichen für Schlüsselaufgaben und gegebenenfalls den Aufsichtsrat.
Unter Umständen empfehlen sich auch bereichsspezifische Verhaltenskodizes.
33
Erstellt ein Unternehmen Verhaltenskodizes, so erfordert ihre Umsetzung, dass die
Adressaten mit den sie jeweils betreffenden Verhaltensnormen vertraut sind. Dies
gilt für Verhaltensnormen, die in allgemeinen Kodizes enthalten sind, ebenso wie
für Verhaltensnormen, die in bereichsspezifischen Kodizes enthalten sind.
34
Einen hohen Einfluss auf die sorgfältige und gewissenhafte Aufgabenwahrnehmung im Unternehmen hat auch das Verhalten der Geschäftsleitung und der Führungskräfte einschließlich der Verantwortlichen für Schlüsselaufgaben. Es ist von
besonderer Bedeutung, dass die Geschäftsleitung und die Führungskräfte einschließlich der Verantwortlichen für Schlüsselaufgaben angemessene organisatorische Werte und Prioritäten vorgeben und in ihrer täglichen Arbeit umsetzen.
Dokumentation der Aufbau- und Ablauforganisation
35
Die Unternehmen haben ihre Aufbau- und Ablauforganisation für sachkundige
Dritte nachvollziehbar zu dokumentieren.
36
Die Dokumentation ist zu pflegen und auf aktuellem Stand stets vorzuhalten. Vorgängerversionen sind mindestens sechs Jahre aufzubewahren. Die in § 257 Absatz
3 und 5 des Handelsgesetzbuches genannten Grundsätze sind gemäß § 23 Absatz
5 VAG zu beachten.
Spezielle Gruppenaspekte
37
Die BaFin erwartet von der Geschäftsleitung des für die Erfüllung der GovernanceAnforderungen auf Gruppenebene zuständigen Unternehmens eine angemessene
Kenntnis der internen Organisation der Gruppe, der Geschäftsmodelle der verschiedenen Unternehmen, der Verbindungen und Beziehungen zwischen ihnen und
der aus der Gruppenstruktur resultierenden Risiken.
38
Bei einer Änderung der Gruppenstruktur können Anpassungen der Aufbau- und
Ablauforganisation sowohl auf Gruppenebene als auch auf Ebene der Einzelunternehmen erforderlich sein. So könnte es beispielsweise notwendig sein, Zuständigkeiten und Berichtslinien neu festzulegen.
39
Die Verantwortung für Anpassungen der Aufbau- und Ablauforganisation auf
Gruppenebene liegt bei der Geschäftsleitung des zuständigen Unternehmens im
Sinne der EIOPA-Leitlinien (Leitlinien 6 und 65).
40
Die Verantwortung für Anpassungen der Aufbau- und Ablauforganisation auf Ebene eines Einzelunternehmens liegt bei der Geschäftsleitung des betreffenden Unternehmens. Gegebenenfalls sind Vorgaben des für die Gruppe zuständigen Unternehmens zu beachten und unternehmensindividuell umzusetzen.
IV. Interne Überprüfung des Governance-Systems
41
Die Geschäftsleitung eines Unternehmens hat dafür zu sorgen, dass das Governance-System einer regelmäßigen internen Überprüfung unterliegt (§ 23 Absatz 2
VAG; EIOPA-Leitlinie 6). Ziel der Überprüfung ist es, die Angemessenheit und
Wirksamkeit des Governance-Systems beurteilen zu können.
42
Die Überprüfung ist von der durch die interne Revision durchzuführenden Bewertung, ob das interne Kontrollsystem und andere Bestandteile des GovernanceSystems angemessen und wirksam sind (§ 30 Absatz 1 VAG; Artikel 271 Absatz 3
Buchstabe (a) der Delegierten Verordnung (EU) 2015/35), zu unterscheiden.
43
Als Grundlage für die interne Überprüfung können neben den von der internen
Revision bei der Überprüfung des Governance-Systems gewonnenen Erkenntnissen besonders auch Informationen dienen, die die weiteren Schlüsselfunktionen
(zum Begriff siehe unter Randnummer 109) bei der Durchführung ihrer Aufgaben
erhalten. Dies gilt beispielsweise für die unabhängige Risikocontrollingfunktion
(URCF; siehe § 26 Absatz 8 VAG). Für diese wird im VAG auch der Begriff „Risikomanagementfunktion“ (RMF) verwendet (siehe § 7 Nummer 9 VAG). Beide Begriffe sind synonym zu verstehen.
44
Im Regelfall ist eine jährliche Überprüfung ausreichend. Zusätzlich sollten außerordentliche Überprüfungen in Erwägung gezogen werden. Anlass dafür können unter anderem Bestandsübertragungen oder Umwandlungen sein. Bei derartigen Anlässen ist es wichtig, sicherzustellen, dass die damit verbundenen Risiken adäquat
im Governance-System berücksichtigt werden.
45
Wenn die Geschäftsleitung den Umfang und die Häufigkeit der internen Überprüfung des Governance-Systems festlegt, ist es auch sinnvoll, Kriterien zu bestimmen, nach denen eine außerordentliche Überprüfung stattfinden soll.
46
Umfang, Ergebnisse und Schlussfolgerungen der Überprüfung sind angemessen zu
dokumentieren und an die Geschäftsleitung zu berichten. Es empfiehlt sich, dabei
festzuhalten, welche Elemente des Governance-Systems schwerpunktmäßig mit
welchem Ergebnis geprüft wurden und wie sich das Zusammenspiel der Elemente
dargestellt hat. Die Berichte haben Änderungsempfehlungen zu enthalten, falls
diese erforderlich sind.
47
Die Ergebnisse und die Änderungsempfehlungen sind von der Geschäftsleitung
unter Einbeziehung sämtlicher Schlüsselfunktionen und gegebenenfalls der betroffenen Bereiche zu diskutieren. Etwaige Einwände und die schließlich von der
Geschäftsleitung festgelegten Maßnahmen und Änderungen sind angemessen zu
dokumentieren, damit ein konsequentes Follow-up und damit eine Verbesserung
des Governance-Systems erfolgen kann.
V. Schriftliche Leitlinien
Allgemeines
48
Die Unternehmen sind dazu angehalten, schriftliche interne Leitlinien aufzustellen
(§ 23 Absatz 3 VAG; EIOPA-Leitlinie 7).
49
Sofern im weiteren Verlauf zur EIOPA-Leitlinie 7 keine gruppenspezifischen Anmerkungen gemacht werden, gelten die Anforderungen entsprechend auch auf
Gruppenebene.
50
Im Zusammenhang mit dem Thema „Schriftliche Leitlinien“ wird der in der Solvabilität II-Richtlinie und in den EIOPA-Leitlinien verwendete Begriff Verwaltungs-,
Management- oder Aufsichtsorgan (VMAO) national als Geschäftsleitung verstanden.
Festlegung der Verantwortlichkeiten
51
Die Festlegung der Geschäfts- und Risikostrategie liegt in der nicht delegierbaren
Gesamtverantwortung der Geschäftsleitung. Zur Unterstützung der Geschäftsstrategie hat die Geschäftsleitung den schriftlichen Leitlinien zumindest bei der Erstverabschiedung zuzustimmen.
52
Die BaFin geht darüber hinaus davon aus, dass schriftliche Leitlinien, welche auf
Gruppenebene beschlossen wurden, nicht automatisch in den rechtlich selbstständigen Einzelunternehmen gelten. Dies gilt auch, wenn Beherrschungsverträge bestehen.
53
Grundsätzlich unterliegen alle Änderungen von schriftlichen Leitlinien der Zustimmung durch die Geschäftsleitung, es sei denn, Änderungen werden vom Unternehmen als geringfügig eingeordnet. Die Unternehmen sollten daher im Vorfeld
festlegen, welche Änderungen in den schriftlichen Leitlinien als geringfügig einzuschätzen sind.
54
Damit die schriftlichen Leitlinien in der Praxis wirksam umgesetzt werden, haben
sich entsprechende Prozesse und Arbeitsabläufe auf Basis dieser schriftlichen Leitlinien zu bilden. Die Unternehmen sollten festlegen, auf welcher Ebene die Verantwortung für die zu bildenden Prozesse und Arbeitsabläufe liegt. Hier muss in
der Regel die Prozessverantwortung nicht zwingend bei der Geschäftsleitung liegen.
Inhalte der schriftlichen Leitlinien
55
Die schriftlichen Leitlinien sollen helfen, Handlungsvorgaben für alle relevanten
Mitarbeiterinnen und Mitarbeiter zu geben.
56
Die folgenden (bis einschließlich Randnummer 73) Mindestanforderungen gelten
zumindest für die schriftlichen Leitlinien zum Governance-System.
57
Die schriftlichen Leitlinien müssen die mit ihnen verfolgten Ziele, Aufgaben und
Verantwortlichkeiten der Geschäftsbereiche klar darstellen.
58
Um Aufgabenüberschneidungen zwischen Geschäftsbereichen zu vermeiden, sind
in der Regel auch entsprechende Schnittstellen und Abgrenzungen in der jeweiligen schriftlichen Leitlinie anzugeben.
59
Damit die schriftlichen Leitlinien im Interesse des Unternehmens auch wirksam
umgesetzt werden können, müssen in den einzelnen schriftlichen Leitlinien entsprechende Prozesse und Berichtsverfahren vorgegeben werden.
60
Die für die Schlüsselfunktionen (siehe unter den Randnummern 109 ff.) zu erstellenden schriftlichen Leitlinien stellen unter anderem die Befugnisse der Schlüsselfunktionen klar dar.
61
Die schriftlichen Leitlinien der jeweiligen Organisationseinheiten legen fest, welche
Informationen für die Schlüsselfunktionen relevant sind und dass solche Informationen an die Schlüsselfunktionen zu übermitteln sind.
Abstimmungsprozess für schriftliche Leitlinien
62
Damit die Geschäftsstrategie wirksam umgesetzt werden kann, müssen zumindest
alle zum Governance-System gehörenden schriftlichen Leitlinien mit der Geschäftsstrategie abgestimmt werden.
63
Außerdem fördert es die Umsetzung der Geschäftsstrategie, zumindest alle zum
Governance-System gehörenden schriftlichen Leitlinien untereinander abzustimmen. Dabei geht die BaFin davon aus, dass nicht nur die inhaltliche Konsistenz
geprüft wird, sondern unter anderem auch die Schnittstellenbeschreibung und die
Verpflichtung zur Informationsweitergabe an die Schlüsselfunktionen.
64
Darüber hinaus kann es Geschäftsbereiche geben, die zwar selbst keinen schriftlichen Leitlinien unterliegen, aber prozessuale Verbindungen mit den zum Governance-System gehörenden Geschäftsbereichen haben, die schriftlichen Leitlinien
unterliegen. Die BaFin geht davon aus, dass auch diese prozessualen Verbindungen bei der Abstimmung der schriftlichen Leitlinien untereinander berücksichtigt
werden.
Überprüfung der schriftlichen Leitlinien
65
Alle schriftlichen Leitlinien müssen mit angemessenen Methoden vollständig überprüft werden.
66
Für die Überprüfung der schriftlichen Leitlinien sollten die auszuführenden Aufgaben und die zuständigen Personen oder Organisationseinheiten benannt werden.
67
Die Unternehmen sollten den Überprüfungsturnus der schriftlichen Leitlinien festlegen. Dabei sollte berücksichtigt werden, dass Änderungen einer schriftlichen
Leitlinie oder der Geschäftsstrategie direkte Auswirkungen auf die anderen schriftlichen Leitlinien haben können. Die BaFin geht davon aus, dass zumindest die
schriftlichen Leitlinien des Governance-Systems mindestens einmal jährlich überprüft werden.
68
Die Überprüfungen der schriftlichen Leitlinien müssen angemessen dokumentiert
werden. Es sollten die festgestellten Probleme und die sich daraus ergebenden
Empfehlungen gegenüber der Geschäftsleitung dokumentiert werden.
69
Die Entscheidungen der Geschäftsleitung aufgrund der Überprüfung der schriftlichen Leitlinien sollten nachvollziehbar begründet und dokumentiert sein.
Kenntnis und Einhaltung schriftlicher Leitlinien
70
Die Geschäftsleitung hat im eigenen Interesse sicherzustellen, dass die Geschäftsbereiche entsprechend ihren Aufgaben und Pflichten vorgehen. Dazu werden unter
anderem schriftliche Leitlinien aufgestellt. Aus den schriftlichen Leitlinien sollten
sich dementsprechend Arbeitsprozesse herausbilden, welche von den relevanten
Mitarbeiterinnen und Mitarbeitern einzuhalten sind.
71
Die BaFin erwartet daher, dass die relevanten Mitarbeiterinnen und Mitarbeiter mit
ihren Pflichten und Aufgaben aus den schriftlichen Leitlinien vertraut sind.
72
Den relevanten Mitarbeiterinnen und Mitarbeitern ist klar zu kommunizieren, für
welche Geschäftsabläufe schriftliche Leitlinien existieren. Änderungen der schriftlichen Leitlinien sind den Betroffenen umgehend mitzuteilen.
73
Die Unternehmen sollten interne Kontrollen einführen, die sicherstellen, dass entsprechend den schriftlichen Leitlinien gehandelt und nicht dagegen verstoßen wird
bzw. Verstöße zeitnah bekannt werden.
VI. Das Verwaltungs-, Management- oder Aufsichtsorgan
74
Die Solvabilität II-Richtlinie und die EIOPA-Leitlinien enthalten den Begriff des
Verwaltungs-, Management- oder Aufsichtsorgans (VMAO). Diese allgemeine Beschreibung ist vor dem Hintergrund zu sehen, dass auf dem Versicherungsmarkt
in der Europäischen Union Gesellschaften unterschiedlicher Art und Herkunft tätig
sind. Abhängig vom jeweiligen nationalen Gesellschaftsrecht und Kontext kann
daher mit VMAO Verschiedenes gemeint sein.
75
Im Zusammenhang mit dem Governance-System ist mit dem VMAO national regelmäßig zunächst die Geschäftsleitung angesprochen.
76
Dies bedeutet aber nicht, dass das Governance-System für den Aufsichtsrat nicht
von Bedeutung ist. Nach dem nationalen Aktienrecht hat der Aufsichtsrat bei Unternehmen mit dualistischer Struktur keine nur reaktive Funktion. Beispielsweise
ist er es, der die Mitglieder des Vorstands bestellt, deren Vergütung beschließt und
ihre Tätigkeiten überwacht. Bestimmte Arten von Geschäften dürfen nicht ohne
die Zustimmung des Aufsichtsrats vorgenommen werden. Zur Erfüllung seiner
Pflichten werden ihm gesetzlich Informations-, Einsichts- und Prüfungsrechte eingeräumt. Für Aufsichtsräte von Versicherungsvereinen auf Gegenseitigkeit (VVaG)
verweist § 189 Absatz 3 VAG auf die entsprechenden Vorschriften des Aktiengesetzes.
77
Im Folgenden wird jeweils deutlich gemacht, ob auch der Aufsichtsrat gemeint ist.
Rolle der Geschäftsleitung und des Aufsichtsrats
78
EIOPA-Leitlinie 1 besagt, dass Geschäftsleitung und Aufsichtsrat eines Unternehmens in angemessener Interaktion mit von ihnen eingesetzten Ausschüssen sowie
mit den Führungskräften und Schlüsselaufgaben innerhalb des Unternehmens zu
stehen haben. Den Mitgliedern beider Organe kommt also innerhalb des Governance-Systems eine besondere aktive Rolle zu.
79
Entsprechend der EIOPA-Leitlinie 1 erwartet die BaFin, dass Geschäftsleitung und
Aufsichtsrat auch weiterhin von sich aus alle möglicherweise relevanten Informationen einfordern und bei Bedarf hinterfragen.
80
Die Unternehmen sind verpflichtet, eine ordnungsgemäße Geschäftsorganisation,
insbesondere ein angemessenes und wirksames Risikomanagement zu installieren.
Dieses behält der Geschäftsleitung die für ihre Leitungsaufgaben nötige Entscheidungskompetenz vor und stellt die Umsetzung ihrer Entscheidungen sicher. Es
umfasst regelmäßige und ad-hoc-Informationsrechte und -pflichten sowie entsprechende Beratungen. Für eine solche Interaktion sind die geforderten Prozesse zur
Übermittlung von Informationen und Berichten aus allen Unternehmensbereichen
an die Geschäftsleitung ebenso essentiell wie die Prozesse, die sicherstellen, dass
die bearbeitenden Stellen über die getroffenen Entscheidungen informiert werden
(sogenannte Gegenstromplanung).
81
Als Empfänger von Informationen kommen neben der Geschäftsleitung vor allem
der Aufsichtsrat und etwaige Ausschüsse und die anderen Schlüsselaufgaben in
Betracht.
Ausschussstruktur
82
Geschäftsleitung und Aufsichtsrat haben in eigener Verantwortung zu überlegen,
ob eine – und falls ja, welche – Ausschussstruktur für das Unternehmen geeignet
ist.
83
Eine Verpflichtung zur Schaffung neuer Ausschüsse soll durch die EIOPA-Leitlinien
nicht etabliert werden.
84
In größeren Unternehmen mit komplexem Risikoprofil, bei denen Geschäftsleitung
und/oder Aufsichtsrat ein größeres Gremium bilden, kann die Schaffung von Ausschüssen zur Beschlussvorbereitung und zur Entlastung der Sitzungen empfehlenswert sein. Beispiele hierfür sind die Bildung von Risiko-, Prüfungs-, Anlageund/oder Vergütungsausschüssen. Für Unternehmen, die im Erst- und Rückversicherungsbereich tätig sind bzw. auch Holdingfunktionen haben, kann sich die Einrichtung eines Ausschusses für Angelegenheiten des Geschäftsfelds Rückversicherung anbieten. Dies wird in vielen Unternehmen bereits so praktiziert.
85
Werden mehrere Rechtsträger in einem Ausschuss durch eine Person vertreten,
muss jedoch die Unterrichtung der jeweiligen Geschäftsleitungen gewährleistet
sein, die die Letztverantwortung für das von ihnen geleitete Unternehmen tragen.
86
Die Geschäftsleitung kann die ihr im Governance-System zugewiesene Rolle nicht
insgesamt auf einzelne Mitglieder oder einen Ausschuss oder anderweitig delegieren. Jede Geschäftsleiterin und jeder Geschäftsleiter muss – wenn auch nicht in
der gleichen Detailtiefe – vor allem die Risiken verstehen, denen das Unternehmen
ausgesetzt ist, sowie beurteilen und entscheiden, welche Ausgestaltung des
Governance-Systems daher für das Unternehmen angemessen ist.
87
Eine Verlagerung der gesetzlich geregelten Verantwortung ist also nicht möglich:
Die Geschäftsleitung ist und bleibt verantwortlich für die ordnungsgemäße Geschäftsorganisation, besonders für ein angemessenes und wirksames Risikomanagement.
88
Nichts anderes gilt ausweislich der EIOPA-Leitlinie 70, Ziffer 1.125 für die aufsichtsrechtliche Verantwortung der Geschäftsleitung eines gruppenzugehörigen
Versicherungsunternehmens.
89
Auch aus § 23 Absatz 2 VAG folgt, dass die Letztverantwortung für die Einhaltung
aufsichtsrechtlicher Vorschriften durch das betreffende Unternehmen bei der Geschäftsleitung liegt. Hierzu gehört auch, dass ein solides und vorsichtiges Management des Geschäfts gewährleistet wird.
Gruppenebene
90
Auf Gruppenebene muss die Geschäftsleitung des zuständigen Unternehmens in
angemessener Interaktion mit den Geschäftsleitungen aller Unternehmen innerhalb der Gruppe stehen (EIOPA-Leitlinien 1, Ziffer 1.25 und EIOPA-Leitlinie 66).
Dazu gehört, eigeninitiativ Informationen einzufordern und die Entscheidungen zu
hinterfragen, die Auswirkungen auf die Gruppe haben können.
91
Sofern diese Anforderungen in einem Spannungsfeld mit den gesellschaftsrechtlichen oder kapitalmarktrechtlichen Möglichkeiten stehen, erwartet die BaFin, dass
die nach den Bestimmungen über die Gruppenaufsicht verpflichteten Unternehmen
und die gruppenzugehörigen Versicherer sich dessen bewusst werden und im eigenen Interesse geeignete Maßnahmen ergreifen, um die Erfüllung aufsichtsrechtlicher Anforderungen sicherzustellen.
92
Es obliegt zunächst den Unternehmen, selbst zu entscheiden, wie sie die Anforderungen erfüllen. Beispielsweise könnte auf Gruppenebene die Einrichtung eines
Gruppenausschusses, gegebenenfalls mit Fachgremien, erwogen werden. Falls
kleinere Rechtsträger einer Gruppe nicht vertreten sind, müssen sie auf anderem
Wege über für sie bedeutsame Maßnahmen informiert werden und gegebenenfalls
ihre Zustimmung gesondert erteilen.
Vier-Augen-Prinzip
93
Nach der EIOPA-Leitlinie 3, Ziffer 1.29 hat das Unternehmen dafür Sorge zu tragen, dass die tatsächliche Leitung des Unternehmens durch mindestens zwei Personen erfolgt. Dies impliziert, dass an jeder wesentlichen Entscheidung des Unternehmens mindestens zwei Personen, die das Unternehmen tatsächlich leiten, beteiligt sind, bevor die betreffende Entscheidung umgesetzt wird.
94
Diese Vorgabe entspricht der Tradition des nationalen Gesellschafts- und Versicherungsaufsichtsrechts, das dem Vier-Augen-Prinzip auf Geschäftsleitungs-Ebene
und auf den Ebenen darunter seit Langem eine bedeutende Rolle beimisst (etwa §
188 Absatz 1 Satz 1 VAG).
95
Zum Begriff der das Unternehmen tatsächlich leitenden Personen wird auf die Auslegungsentscheidung zur Prüfung der fachlichen Eignung und Zuverlässigkeit verwiesen.
96
Den Unternehmen obliegt die erste Einschätzung, ob es andere Personen im Unternehmen gibt, die aufgrund ihrer Entscheidungsbefugnisse ebenfalls zu den tatsächlich leitenden Personen zu zählen sind. Dies kommt etwa bei der zweiten Führungsebene in Betracht.
97
Von einer Beteiligung von mindestens zwei das Unternehmen tatsächlich leitenden
Personen ist regelmäßig auszugehen, wenn diese beiden nach einer entsprechenden Diskussion auf Augenhöhe zu einem einvernehmlichen Ergebnis gelangt sind,
auf dessen Basis die wesentliche Entscheidung getroffen wird. Ein bloßes “Durchwinken” einer vorgegebenen Entscheidung im Rahmen eines faktischen Hierarchieverhältnisses wird dagegen dem Vier-Augen-Prinzip nicht gerecht.
Wesentliche Entscheidungen
98
Nach den Erläuterungen zur EIOPA-Leitlinie 3 sind wesentliche Entscheidungen
solche, die ungewöhnlich sind oder erhebliche Auswirkungen auf das Unternehmen
haben werden oder haben könnten. Als Beispiele werden Entscheidungen genannt,
die sich auf die Unternehmensstrategie, das Geschäftsgebaren oder die Reputation
auswirken oder auswirken könnten. Gleiches gilt für Entscheidungen, die bedeutende finanzielle Folgen oder größere Auswirkungen für die Versicherten oder die
Beschäftigten haben werden oder haben könnten.
99
Es obliegt der Geschäftsleitung, entsprechend den unternehmensindividuellen Gegebenheiten, eigenverantwortlich festzulegen, welche Entscheidungen mit Blick
auf das Geschäftsmodell und das Risikoprofil des Unternehmens als wesentlich
einzustufen sind.
100
In der Praxis existieren regelmäßig Kataloge von als wesentlich angesehenen
Themen und Geschäften, bei denen sich die Geschäftsleitung als Gesamtorgan die
Entscheidungen vorbehält.
Dokumentation
101
Gemäß der EIOPA-Leitlinie 4 hat die Geschäftsleitung die von ihr getroffenen Entscheidungen sowie die Art und Weise, wie Informationen aus dem Risikomanagement berücksichtigt werden, in angemessener Weise zu dokumentieren (zur Proportionalität siehe Randnummern 106 bis 108).
102
Eine Dokumentation, aus der nichts zu Informationen oder Entscheidungsvorschlägen der URCF hervorgeht, ist regelmäßig als nicht angemessen anzusehen.
Schweigt die Dokumentation bereits zu der Frage, ob die URCF in die Entscheidung der Geschäftsleitung einbezogen wurde, kann darüber hinaus vermutet werden, dass die URCF nicht eingebunden wurde. Falls die URCF ausnahmsweise, zum
Beispiel wegen Dringlichkeit, nicht beteiligt werden konnte, sind die Gründe anzugeben und die Hintergründe darzulegen, aufgrund derer die Einbindung der URCF
nicht erfolgen konnte. Ferner ist in einem solchen Fall zu dokumentieren, auf welchen anderen Wegen sich die Geschäftsleitung die bei ihrer Entscheidung berücksichtigten Informationen aus dem Risikomanagement beschafft hat.
103
Bei aus Risikosicht wichtigen Entscheidungen ist die bloße Mitteilung, dass die
URCF eingebunden war, als Dokumentation nicht ausreichend.
104
Eine Dokumentation, aus der hervorgeht, dass den Empfehlungen der in die Entscheidung einbezogenen URCF nicht gefolgt wurde, kann grundsätzlich angemessen sein, sofern die Gründe für die Nichtberücksichtigung in der Dokumentation in
nachvollziehbarer Art und Weise detailliert dargelegt werden.
105
Zusammenfassend ist wesentlich, dass die Entscheidung anhand eines von der
Geschäftsleitung eigenverantwortlich installierten Prozesses erfolgt und sich nachvollziehen lässt. Die Dokumentation ist daher ausreichend, wenn sie so vollständig
und exakt und mit den wesentlichen Hintergrundinformationen (z.B. Formeln, Parameter, Entscheidungen, deren wesentlichen Begründungen) angereichert ist,
dass eine fachkundige Person die Entscheidung inhaltlich nachvollziehen und gegebenenfalls unter bestimmten Aspekten überprüfen kann.
106
Aus Proportionalitätsgründen kann nicht auf die Dokumentationsanforderungen als
solche verzichtet werden.
107
Jedoch ist es nicht zwangsläufig erforderlich, insgesamt neue Unterlagen zu schaffen. Verweisungen auf vorhandene Unterlagen und deren Beifügung, gegebenenfalls verbunden mit ergänzenden Hinweisen, können genügen, solange und soweit
die erforderliche Handhabbarkeit und Verständlichkeit im Sinne eines vollständigen
Bildes gegeben ist.
108
Ein Mindestniveau der Ausgestaltung der Dokumentation kann nicht pauschal vorgegeben werden. Umfang und Detailtiefe der Dokumentation von Entscheidungen
auf Geschäftsleitungs-Ebene sind vom Zweck der Dokumentation und vom Risikoprofil abhängig. Daher ist der Dokumentationsbedarf im Einzelfall aufgrund einer ganzheitlichen Betrachtung unter den Gesichtspunkten Selbstkontrolle und
Nutzen festzulegen. Geht es um weniger komplexe und für das jeweilige Unternehmen relativ wenig relevante Risiken, kann die Darstellung in der Regel ohne
Einbußen für die Nachvollziehbarkeit einfacher und kürzer ausfallen.
VII. Schlüsselfunktionen
Grundlagen
109
Im Sinne der Erwägungsgründe 32 und 33 der Solvabilität II-Richtlinie umfasst
der Begriff der Schlüsselfunktion nur die folgenden vier Funktionen: interne Revisionsfunktion, Compliance-Funktion, URCF und versicherungsmathematische
Funktion. Der Begriff der Schlüsselfunktion ist daher vom – weiteren − Begriff der
Schlüsselaufgabe zu unterscheiden (siehe Auslegungsentscheidung zur Prüfung
der fachlichen Eignung und Zuverlässigkeit). § 7 Nummer 9 VAG weist die Schlüsselfunktionen der Geschäftsorganisation zu.
110
An dieser Stelle geht es um übergeordnete, vornehmlich organisatorische Aspekte,
die für alle Schlüsselfunktionen Bedeutung haben. Im Übrigen wird bezüglich der
internen Revisionsfunktion und der Compliance-Funktion auf die Auslegungsentscheidung zu internen Kontrollen und interner Revision, bezüglich der URCF auf
die Auslegungsentscheidung zum Risikomanagement und bezüglich der versicherungsmathematischen Funktion auf die entsprechende Auslegungsentscheidung
verwiesen.
111
Die Unternehmen haben die Schlüsselfunktionen in angemessener Weise einzurichten (Artikel 268 Absatz 1 der Delegierten Verordnung). Dabei sind § 24 VAG
und die Artikel 268 bis 272 der Delegierten Verordnung zu beachten, in denen die
Aufgaben dieser Funktionen und zum Teil auch deren Stellung im Unternehmen
vorgegeben sind.
112
Entsprechendes gilt für die Gruppenebene. Das zuständige Unternehmen auf
Gruppenebene hat die Schlüsselfunktionen ebenfalls in angemessener Weise einzurichten. Dabei ist zusätzlich § 275 VAG zu beachten.
113
Alle unter Solvabilität II fallenden Unternehmen müssen über die vier Schlüsselfunktionen verfügen. Die Solvabilität II-Richtlinie und hieran anknüpfend das VAG
enthalten keinerlei Ausnahmen für bestimmte Arten von Unternehmen; ebenso
wenig wird die BaFin ermächtigt, im Einzelfall Ausnahmen zu gewähren.
114
Im Vergleich zum vormaligen § 64a VAG alte Fassung ist nur die versicherungsmathematische Funktion ganz neu. Die Schaffung einer internen Revision und einer unabhängigen Risikocontrollingfunktion waren bereits vor dem Inkrafttreten
von Solvabilität II gesetzlich vorgeschrieben (§ 64a Absatz 1 Satz 4 Nummer 4,
Absatz 7 Nummer 4 und Absatz 7 Nummer 3 Buchstabe b) Doppelbuchstabe cc),
Buchstabe c) Doppelbuchstabe dd) VAG alte Fassung). In Sachen Compliance ist
zu unterscheiden: Es gab bisher zwar keine organisatorische Vorgabe, eine Compliance-Funktion einzurichten. Jedes Unternehmen musste aber „compliant“ sein,
also alle auf seinen Geschäftsbetrieb anwendbaren Gesetze und sonstigen Vorgaben einhalten. Außerdem unterliegt die Geschäftsleitung der aus dem Aktiengesetz folgenden Legalitätspflicht.
Zielvorgabe statt konkreter Umsetzungsvorgabe
115
§ 23 Absatz 1 VAG enthält eine Zielvorgabe: Die Geschäftsorganisation, in welche
auch die Schlüsselfunktionen einzubinden sind, muss nach Art, Umfang und Komplexität der Tätigkeit und der damit einhergehenden Risiken des konkreten Unternehmens angemessen sein.
116
Diese Zielvorgabe ist zu erfüllen. Dabei sind die Unternehmen grundsätzlich frei
darin, wie sie die Schlüsselfunktionen organisieren; sie haben gleichermaßen das
Recht und die Pflicht, insoweit die erste Einschätzung zu treffen, eigeninitiativ und
individuell vorzugehen (Erwägungsgrund 31 Satz 2 der Solvabilität II-Richtlinie).
Dementsprechend enthalten die Solvabilität II-Richtlinie, das VAG und die EIOPALeitlinien keine organisatorischen Detailanforderungen.
117
Die Geschäftsleitung des Unternehmens, die letztlich für ein wirksames Governance-System verantwortlich ist (§ 23 Absatz 2 VAG), muss mit den durch die
Zielvorgabe eröffneten Umsetzungsspielräumen verantwortungsvoll umgehen.
118
Das Unternehmen muss seine Ersteinschätzung begründen können; die Aufsichtsbehörde kann diese in Frage stellen.
Zielvorgabe und Proportionalität
119
Die Schlüsselfunktionen müssen in „angemessener“ Weise eingerichtet werden.
Bei der Anwendung dieses unbestimmten Rechtsbegriffes ist der Proportionalitätsgrundsatz zu beachten, der an das individuelle Risikoprofil eines jeden Unternehmens anknüpft und eine Einzelfallbetrachtung verlangt (siehe unter Randnummer
5).
120
Soweit die Größe eines Unternehmens im Rahmen der Einzelfallbetrachtung eine
Rolle spielen kann, kommt es nicht auf die Mitarbeiteranzahl, sondern auf den Mitarbeiterbedarf an. Das heißt, auch Mitarbeiterkapazitäten, die sich das Unternehmen im Wege der Ausgliederung zu Nutze macht, sind in die Betrachtung einzubeziehen.
121
In der Praxis setzt sich die Einrichtung einer Schlüsselfunktion aus einer Mehrzahl
von Entscheidungen zusammen. Alle notwendigen einzelnen Proportionalitätsbetrachtungen sollten daher von ihrem Ergebnis her miteinander in Einklang gebracht werden.
Denkbare Gestaltungsformen für Schlüsselfunktionen
122
Der Begriff „interne Kapazität“, wie er in § 7 Nummer 9 VAG zu finden ist, umfasst
die Abbildung einer Schlüsselfunktion durch eine Person oder eine Personenmehrheit. Die Formulierung „von einer Person oder einer organisatorischen Einheit“
könnte missverstanden werden, weil auch unipersonale organisatorische Einheiten
denkbar sind.
123
Neben zentralen/stabsstellenartigen kommen auch dezentrale/integrierte Gestaltungsformen sowie – gruppenbezogene – Mischformen in Betracht. So kann es
beispielsweise angemessen sein, die für eine Schlüsselfunktion notwendige Personenkapazität und das erforderliche Know-how aus verschiedenen organisatorischen Einheiten eines Unternehmens (etwa verschiedenen Abteilungen) zu generieren. Besonders durch die Zuordnung der funktionsspezifischen Aufgaben bilden
diese Mitarbeiterinnen und Mitarbeiter dann die Schlüsselfunktion im Sinne einer
eigenen organisatorischen Einheit.
124
Eine gruppenbezogene Mischform wäre beispielsweise die Abbildung einer Schlüsselfunktion über eine eigenständige Abteilung auf Ebene des Mutterunternehmens
und eine integrierte Organisation auf Ebene des Tochterunternehmens.
Angemessene und transparente Organisationsstruktur
125
Entscheidend ist, welche Organisationsform in Bezug auf die risikoprofilbezogenen
Eigenheiten eines Unternehmens den mit der regulatorischen Grundanforderung –
etwa der Einrichtung der Compliance-Funktion – verbundenen Zweck angemessen
erreicht. Auf die Abbildung einer Schlüsselfunktion im Wege des Outsourcings wird
unter den Randnummern 136 ff. eingegangen.
126
Besonders bei integrierten Ansätzen zur Organisation einer Schlüsselfunktion
kommt es auf eine eindeutige und transparente Aufgabendefinition und Aufgabenzuweisung an. Diese muss in schriftlichen Leitlinien festgehalten werden (siehe
unter den Randnummern 48 ff.).
127
Potentielle Interessenkonflikte sind zu vermeiden. Die Schlüsselfunktionen müssen
jederzeit frei von Einflüssen sein, die eine objektive, faire und unabhängige Aufgabenerfüllung verhindern.
Verantwortliche Person für Schlüsselfunktionen
128
In allen – auch dezentralen – Gestaltungsformen muss es ungeachtet der nicht
delegierbaren Letztverantwortung der Geschäftsleitung eine natürliche Person geben, welche die Verantwortung dafür trägt, dass die jeweilige Schlüsselfunktion ihre Aufgaben ordnungsgemäß erfüllt („verantwortliche Person“ für eine Schlüsselfunktion). Es ist nicht zulässig, diese Verantwortung ganz oder teilweise mehreren
natürlichen Personen zuzuordnen. Personen, die für die Schlüsselfunktion tätig
sind, ihr also zuarbeiten, kann es hingegen viele geben.
129
Die Unternehmen haben auch bei der Bestimmung der verantwortlichen Person für
eine Schlüsselfunktion gleichermaßen das Recht und die Pflicht, die erste Einschätzung zu treffen (siehe oben, Randnummer 116). Dabei sind die für die verantwortliche Person − wie auch für diejenigen, die für eine Schlüsselfunktion tätig
sind − geltenden Qualifikationsanforderungen zu beachten (siehe Auslegungsentscheidung zur Prüfung der fachlichen Eignung und Zuverlässigkeit).
130
Unter Proportionalitätsgesichtspunkten kann es bei einer unternehmensinternen
Einrichtung einer Schlüsselfunktion zulässig sein, eine Geschäftsleiterin oder einen
Geschäftsleiter zur intern verantwortlichen Person für die Schlüsselfunktion, das
heißt zur operativ verantwortlichen Person zu bestimmen. Dies setzt allerdings voraus, dass die Geschäftsleiterin oder der Geschäftsleiter a) für diese Tätigkeit
fachlich geeignet ist, b) die Zusammenstellung der Ressorts, einschließlich der
Stellung als intern verantwortliche Person für eine Schlüsselfunktion, die Regeln
der Funktionstrennung auf proportionale Weise erfüllt und sie oder er c) insgesamt
ausreichende zeitliche Kapazitäten für eine ordnungsgemäße Ausführung aller
Aufgaben vorweist.
Anbindung der Schlüsselfunktionen an die Geschäftsleitung
131
Im Modell der drei Verteidigungslinien („Three Lines of Defense“) bildet die interne
Revisionsfunktion die dritte Verteidigungslinie, die anderen Schlüsselfunktionen
gehören zur zweiten Verteidigungslinie. Unabhängig von dieser Einordnung stehen
die Schlüsselfunktionen unter Solvabilität II gleichrangig und gleichberechtigt nebeneinander, ohne untereinander weisungsbefugt zu sein. Die Geschäftsleitung
bildet die Eskalationsinstanz im Falle von Kontroversen zwischen den Schlüsselfunktionen.
132
Alle Schlüsselfunktionen müssen direkt und unmittelbar an die – letztverantwortliche − Geschäftsleitung berichten. Spiegelbildlich hierzu muss die Geschäftsleitung
eigeninitiativ und angemessen mit den Schlüsselfunktionen interagieren (siehe unter Randnummer 78).
Informationsfluss und Stellung im Unternehmen
133
Die Schlüsselfunktionen können nur so gut arbeiten, wie ihr Informationsstand ist.
Die für eine Schlüsselfunktion verantwortliche Person wie auch diejenigen, die für
die Schlüsselfunktion tätig sind, müssen in der Lage sein, eigeninitiativ mit allen
relevanten Mitarbeiterinnen und Mitarbeitern zu kommunizieren.
134
Sie benötigen uneingeschränkten Zugang zu den für die Erfüllung ihrer Aufgabe
relevanten Informationen und müssen über die relevanten Sachverhalte zeitnah,
gegebenenfalls ad hoc, informiert werden.
135
Neben angemessenen Ressourcen und Befugnissen bedarf es einer hervorgehobenen Stellung der Schlüsselfunktionen innerhalb des Unternehmens, die nicht allein
durch schriftliche Leitlinien erzeugt werden kann, sondern eine entsprechende Unternehmenskultur bedingt. Der „Tone at the Top“ hat hier erhebliche Bedeutung.
Outsourcing von Schlüsselfunktionen
136
Die BaFin behandelt das Outsourcing in einer eigenen Veröffentlichung. In Bezug
auf die Schlüsselfunktionen werden einige organisatorische Aspekte aber auch an
dieser Stelle aufgegriffen.
137
Im Prinzip ist bei jedem Unternehmen eine Ausgliederung aller vier Schlüsselfunktionen möglich.
138
Im Falle des Outsourcings muss das Unternehmen einen Ausgliederungsbeauftragten installieren. Der bereits unter § 64a Absatz 7 Nummer 4 VAG alte Fassung bekannte Revisionsbeauftragte ist eine solche Person. Unbeschadet der nicht delegierbaren Letztverantwortung der Geschäftsleitung für jede Ausgliederung, trägt
der Beauftragte die Verantwortung dafür, dass das Outsourcing ordnungsgemäß
verläuft. Er muss die Leistung des Dienstleisters beurteilen und hinterfragen.
139
EIOPA-Leitlinie 14 spricht bezüglich des Ausgliederungsbeauftragten von einer
„Person innerhalb des Unternehmens“. Die BaFin hält derzeit eine weite Auslegung
dieser Beschreibung für vertretbar. Es kann daher zulässig sein, diese Aufgabe auf
eine Person zu übertragen, die bei einem anderen Unternehmen derselben Gruppe
angestellt ist, wenn diese Person in Bezug auf ihre Funktion als Ausgliederungsbeauftragter den Weisungen der Geschäftsleitung des ausgliedernden Unternehmens
unterliegt. Außerdem müssen gegebenenfalls Maßnahmen zur Vermeidung potentieller Interessenkonflikte ergriffen werden.
140
Im Hinblick auf die Gefahr von Interessenkonflikten werden Konstellationen, die
eine Personenidentität der involvierten Vorstände aufweisen, von der BaFin kritisch gesehen. Generell nicht zulässig ist, dass der Ausgliederungsbeauftragte bei
dem Gruppenunternehmen angestellt ist, auf das die Schlüsselfunktion ausgegliedert wurde. Beispiel: Der Revisionsbeauftragte ist bei dem Gruppenunternehmen
angestellt, auf das die interne Revision ausgegliedert wurde. Dann ist der Revisionsbeauftragte disziplinarisch auch der Geschäftsleitung des Unternehmens unterstellt, dessen Dienstleistungen er zu überwachen hat.
141
Zu den Qualifikationsanforderungen an Ausgliederungsbeauftrage sowie die Personen, die auf Seiten des Dienstleisters für die Schlüsselfunktion zuständig sind, hat
sich die BaFin bereits in der Auslegungsentscheidung zur Prüfung der fachlichen
Eignung und Zuverlässigkeit geäußert.
VIII. Notfallpläne
142
Die Notfallplanung soll die Widerstandsfähigkeit von Bereichen und Prozessen im
Unternehmen erhöhen, um in möglichen Krisensituationen die Fortführung der Geschäftstätigkeit durch im Vorfeld definierte Verfahren zu gewährleisten.
143
Alle Unternehmen haben sich mit einer Notfallplanung auseinanderzusetzen (§ 23
Absatz 4 VAG, EIOPA-Leitlinie 8).
144
Verantwortlich für die Notfallplanung ist die Geschäftsleitung. Die Verantwortung
kann nicht delegiert werden.
145
Notfallpläne sind mindestens für diejenigen Bereiche und Prozesse zu erstellen,
bei denen der Eintritt einer unvorhergesehenen Störung die Fortführung der Geschäftstätigkeit gefährden könnte. Die ausgegliederten Bereiche und Prozesse sind
in die Notfallplanung einzubeziehen.
146
Die den Notfallplänen zugrunde liegenden Notfallszenarien haben dem individuellen Risikoprofil hinreichend Rechnung zu tragen.
147
Sowohl die Notfallplanung als auch die Bewältigung eines Notfalles müssen angemessen in die Strukturen und Prozesse der Aufbau- und Ablauforganisation eingebunden sein. Vor allem sind die Aufgaben, Verantwortlichkeiten, Informationspflichten und Eskalationsprozesse klar und nachvollziehbar festzulegen und zu dokumentieren.
148
Der betroffene Personenkreis muss die Notfallplanung kennen. Die Notfallpläne
sollten auch im Notfall jederzeit verfügbar sein.
149
Die Wirksamkeit und Angemessenheit der Notfallpläne sind fortlaufend sicherzustellen. Hierzu sind in regelmäßigen Abständen auch geeignete Überprüfungen,
etwa Testläufe und Übungen, durchzuführen. Die Häufigkeit und der Umfang der
Überprüfungen haben sich an der Maßgeblichkeit der jeweiligen Bereiche und Prozesse zu orientieren.

Download Report