STUDIE 2019 EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN

Die Seite wird erstellt Christian Köhler
 
WEITER LESEN
STUDIE 2019 EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN
STUDIE 2019
EINBLICK IN DIE PRAXIS DER
DREI VERTEIDIGUNGSLINIEN
BEI SCHWEIZER VERSICHERERN
STUDIE 2019 EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN
STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN

2 I MAZARS & ZHAW
STUDIE 2019 EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN
STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN

VORWORT

Das Modell der drei Verteidigungslinien (Three-Lines-of-Defense) ist bei vielen Steuerungsansätzen in der Versicherungs­­­industrie
ein integraler Bestandteil, der bei zahlreichen Unternehmen im Grund­­satz implemen­tiert wurde und sich so seit Jahren bewährt hat.
Aus einer regulatorischen Sicht verweist die FINMA im Erläute­rungs­­bericht zum Rund­schrei­ben 2017/2 «Corporate Governance –
Versicherer» explizit auf das Modell der drei Verteidigungslinien als Ansatz zur Definition der Rollen und Verant­wort­lichkeiten und
der Einbettung der Risiko- und Kontrolleinheiten in ein ganzheitliches Governance-System (FINMA, 2016).

Eine Untersuchung der konkreten Aus­ge­staltung der drei                 Für die Studie wurden 12 Experten in per­­­­sönlichen
Verteidigungslinien, deren Etablierung innerhalb der                     Interviews und 35 Versiche­rungsunternehmen mittels
Ver­si­che­­­rungs­unternehmen und die dabei gemachten                   standardisiertem Fragebogen zum Nutzen des Modells
Erfahrungen mit dem Modell, fehlt aller­dings in der                     der drei Verteidigungslinien, dessen Im­­ple­men­tierung
Schweiz bislang.                                                         und den bisherigen Erfah­run­gen­befragt. Wir danken allen
Hier setzt die vorliegende Studie an und untersucht das                  Betei­lig­­ten für ihre Mitwirkung und sind über­zeugt, dass
Modell der drei Verteidi­­gungslinien bei Schweizer Versi-               die vorliegenden Aussa­gen und Ver­glei­che aufschluss­
che­rungs­unternehmen. Insbesondere wur­den fol­gen­de                   reiche Einsichten für die Weiter­­entwicklung des Modells
Aspekte untersucht:                                                      der drei Verteidi­gungslinien bieten.
—— Nutzen des Modells                                                    Wir wünschen Ihnen viel Spass und interessante
                                                                         Erkenntnisse bei der Lektüre.
—— Voraussetzungen und Umsetzungsstand
                                                                                                                          Die Autoren
—— Aufgabenspektrum und Umfang der
   Kontrollbereiche
—— Herausforderungen der Umsetzung
—— Aktuelle Trends
Die vorliegende Studie schlüsselt die Resultate sowohl
nach Aufsichtskatego­rie, als auch nach den Segmenten
Lebens- und Sachversicherer, Rückversicherer und
Krankenversicherer, auf. Die Ergebnisse der Studie liefern
wertvolle Erkenntnisse zur operativen Umsetzung des Mo-
dells der drei Verteidigungslinien und zu sei­ner Einbettung
sowie Anwendung in Ver­­si­cherungs­unternehmen.

                                                                                                                     MAZARS & ZHAW I 3
STUDIE 2019 EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN
STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN

MANAGEMENT SUMMARY

Die aus den Expertengesprächen und der standardisierten Befragung gewonnenen Erkenntnisse zeigen eine hohe Zustimmung zum
grundsätzlichen Nutzen des Modells sowie ein einheitliches Bild zu aktuellen Trends. Das Modell leistet einen wichtigen Beitrag zur
Förderung der Bedeutung und ganzheitlichen Umsetzung der Risiko­­­mana­­ge­ment­ziele. Während ein weit­gehender Konsens bezüglich
der groben Struktur der drei Linien besteht, zeigen die Resultate aufgeschlüsselt nach Geschäfts­segmenten und Auf­sichts­­kate­go­rien
wesentli­che Unterschiede in der Einschätzung der Herausfor­derungen und in der operativen Umsetzung.

Die grössten Herausforderungen werden im konsis­ten­ten                   Generell wenden grosse Un­ternehmen mehr perso­nelle
Verständnis von Wesent­lichkeit und Risiko, unter­schiedli­               Ressourcen als kleine­re Versicherungsunternehmen auf.
chen Bewertungsmethoden oder Grund­lagen so­wie Doppel-                   Die hohe Zustimmung zu mehreren Trends zeigt, dass die
spurig­keiten und Redun­dan­zen gesehen. Für Lebens- und                  operative Umsetzung des Modells Schweizer Versicherer
Sach­ver­sicherer ist die Nutzung verschie­dener (IT-) Syste-             beschäftigt. Viel Wert legen die Befragten auf die Reduk-
me sehr herausfordernd. Demgegenüber beschäftigt Rück­                    ­tion der Komplexität und einen verstärkten Fokus auf
ver­sicherer eher, Klarheit bezüglich der Verantwortung                    Wesentlichkeit. Unsicherheit besteht in der Definition und
nicht-finanzieller Risiken zu schaffen. Als wichtigste                     Umsetzung der Unabhängig­keit. Die bessere Integration
Voraussetzung für eine erfolgreiche Umsetzung des                          der Berichterstattung und der Kontrolltätigkeiten ist vor
Modells wird, wie auch in der Literatur der «Tone at the t­ op»            allem ein Thema bei grösse­­ren Rück-, Lebens- und
gesehen, gefolgt vom konsistenten Verständnis von Wesent-                  Sachversicherern.
lichkeit und Risiko, einheitlichen Bewer­tungskriterien                   Die Erkenntnisse lassen erwarten, dass sich das Aufgaben­-
sowie dem «Tone at the middle».                                           ­­­spektrum sowie die organi­satorische Einbettung der
Wie erwartet nimmt die Risikomanage­ment-­Funktion                           Kon­troll­­­f­unktionen weiter wandeln wird. Es lassen sich
den Grossteil der Risiko- u­ nd Kontrolltätigkeiten wahr. Die                vier Handlungsfelder ableiten. Versicherer sollten die
meis­ten Überschneidungen ergeben sich zwischen Risiko-                      Rollen, ­Kompetenzen und Verantwortlichkeiten der Kontroll­
management und Compliance. Deutliche Unterschiede im                         funk­tionen bewusster und klarer definieren, sowie die
Aufgaben­spektrum von Risikomanagement, Com­pliance,                         Einhaltung der Unabhängigkeit und gleichzeitig die Effek­
Interner Revision und externen Dienstleis­tern zeigen sich                   tivität der Zusammenarbeit regel­mässig hinter­fragen.
im Vergleich der Geschäftsfelder und Aufsichtskatego­rien.                   Dabei gilt es, der Einfachheit und Verständlich­keit des
Bei grossen Unternehmen fällt das im Vergleich breite Auf­                   Modells als gröss­­tem Nutzen, sowie der Rolle der Risiko-
ga­ben­spektrum der Compliance auf. Bei der Differenzierung                  eigner als wichti­g­ste Vertei­di­­gungslinie, Sorge zu tragen.
nach Geschäftsfeld wird deutlich, dass bei den Kranken­­­ver­-            Als Ausgangspunkt der Überlegungen bietet sich eine
­siche­rern einzelne Auf­gaben ausschliesslich vom Risiko­­­-             be­reichsübergreifende Diskussion und Definition der
 ma­na­­ge­ment wahr­ge­nom­men werden und die Interne                    we­sent­­lichen Risiken und der ver­wen­deten Methoden an.
 Revision ein im Vergleich breiteres Aufgabenspektrum wahr-               Als Leitlinie gilt das übergeordnete Ziel einer risiko­orien­
 ­­nimmt. Kleine und­mittelgrosse Rückversicherer gaben eher              tierten Unter­nehmensführung, die in einem dyna­mischen
 an, Kontroll­aufgaben an externe Dienstleister auszu­lagern.             Marktumfeld proaktiv und nachhaltig zum Erfolg des Unter­-
 Bezüglich Ressourcen hat sich gezeigt, dass sich die Ver­tei-            nehmens beiträgt und sich nicht in der Rolle der reaktiven
 lung auf die einzelnen Funktionen vor allem im Bereich                   Kontrolle begrenzt.
 Compliance unterscheidet.

4 I MAZARS & ZHAW
STUDIE 2019 EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN
MAZARS & ZHAW I 5
STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN

6 I MAZARS & ZHAW
INHALTSVERZEICHNIS

Vorwort                                               3
Management Summary                                    4
Inhaltsverzeichnis                                    7
Hintergrund                                           8
           Das Modell der drei Verteidigungs­linien    8
           Kritik am Modell                            9
           Schweizer Aufsichtspraxis                  10
           Das Modell in der Bericht­erstattung der
           Schweizer Versicherer                      10
Design und Ergebnisse der Studie                      12
           Nutzen des Modells                         12
           Umsetzungsstand und Voraussetzungen        14
           Aufgabenspektrum der Kontroll­funktionen   20
           Aktuelle Trends                            27
Ausblick und Handlungsfelder                          30
Interviewpartner                                      31
Verweise                                              32
Autoren                                               33

                                                           MAZARS & ZHAW I 7
STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN

HINTERGRUND
                                                                                   DAS MODELL DER DREI VERTEIDIGUNGS­LINIEN
Lehren aus der Finanzkrise und steigende Ansprüche                                 In diesem Kapitel wird die generelle Struktur des Modells
an die Unternehmenssteuerung haben qualitative                                     der drei Verteidigungslinien bei Versicherern kurz skizziert.
und organisatorische Aspekte des Risikomanagements                                 Das Modell bildet ab, welche Rolle die Kontrollfunktionen
von Finanz­instituten vermehrt in den Fokus gerückt.                               Risikomanagement, Compliance und Interne Revision im
Die Etablierung einer adäquaten Organi­sa­tions­struk­                             Governance-System einnehmen. Unter Solvency II wird der
tur sowie der Kontroll­funktionen Risiko­management,                               Begriff Schlüssel­funktio­nen verwen­det, welcher auch die
Compliance und Interne Revision standen dabei                                      Funktion des verant­wort­­li­chen Aktuars umfasst. Mit Funktion
im Mit­tel­punkt. Damit ein Governance-System die                                  ist dabei nicht eine Person oder Abteilung gemeint, sondern
gewünschte Funktionsfähigkeit erreicht, müssen                                     die Kapazität des Versicherers, die ent­sprechenden Aufga­ben­
Finanz­institute sicherstellen, dass sich die Kontroll-                            wahr­zu­nehmen. Wichtig ist, dass die ver­schiedenen Auf­ga­ben
funktionen laufend mit Informationen austauschen                                   der Kontrollfunktionen objektiv und unabhängig erfüllt wer-
und eng zusammenarbeiten (Zinnöcker, 2017). Das                                    den können (FINMA RS 2017/­02). Hierzu werden drei «Ver-
«Modell der drei Verteidigungslinien» erlang­te durch                              teidigungslinien» gebildet (Ab­bildung 1). Die klare Aufgaben-
die Publikation des Institute of Inter­nal Auditors                                zuteilung soll sicher­stellen, dass alle Risiken effektiv und
(IIA, 2013)1 weitgehende Anerkennung und hat sich                                  effizient identifiziert und gehandhabt werden. Verwal­tungs-
inter­­na­tional als Konzept für die organisatorische                              ­­rat und Geschäfts­leitung sind die primären Stakehol­der
Einbettung der Kontroll­funktionen, sowie die Interak-                             dieses ursprünglich intern ausgerichteten Modells. Die erste
tion der ver­schie­­denen operativen Einheiten, etabliert.                         Verteidigungslinie bildet die operativen Ein­heiten ab.

Abbildung 1: Das Modell der drei Verteidigungslinien (eigene Darstellung in Anlehnung an IIA, 2013)

                                                                  VERWALTUNGSRAT
                                             Risikopolitik und Risikostrategie inklusive Risikoappetit und -toleranz

                                                                                                                                       Direkter Zugang
                                      GESCHÄFTSLEITUNG
                                     Umsetzung der Risikostrategie

                                                                Berichtet über Risikoangelegenheiten

     ERSTE VERTEIDIGUNGSLINIE                             ZWEITE VERTEIDIGUNGSLINIE                               DRITTE VERTEIDIGUNGSLINIE
         Risikoeigner, operative Einheiten                    Risikomanagement und -prozesse                                 Interne Revision
                    (Business)                                          (Standards)                                             (Assurance)

      AUFGABEN                                              AUFGABEN                                               AUFGABEN
      Laufende Identifikation, Beurteilung                  Etablierung des ganzheitlichen                         Regelmässige, unabhängige
      und Steuerung von (neuen) Risiken                     Risiko- und Kontrollrahmenwerks                        Überwachung und Beurteilung
      im Tagesgeschäft                                      Erfassung und Beurteilung der                          der Angemessenheit und Wirksamkeit
      Durchführung von Kontrollaktivitäten                  Gesamtrisikosituation und von                          der Risikomanagement-, Governance-
      zur Einhaltung des Risikoappetits                     aufkommenden Risiken                                   und Kontrollprozesse sowie des
                                                                                                                   Zusammenspiels der Verteidigungslinien
      Identifikation und Eskalation von                     Überwachung der Einhaltung
      Prozess- und Kontrollschwächen                        von rechtlichen Regelungen
      Beitrag zur Weiterentwicklung von                     Überwachung der Angemessenheit
      Richtlinien und Verfahren                             von Prozessen und Methoden
                                                            Koordination der Berichterstattung
                                                            über die Gesamtrisikolage

1
    Eine aktualisierte Publikation des IIA wird für 2020 erwartet.

8 I MAZARS & ZHAW
Sie zeichnen die Risiken gemäss Risiko­­­appetit und ver­wal­-   —— Die vorgegebenen Strukturen sind zu rigide und
ten diese im Rahmen der Geschäfts­­tätig­­keit auf operativer       bergen die Gefahr, Silos zu kreieren (vgl. IIA, 2019).
Ebene. Hierzu gehört die Identifikation und Überwachung             Das Modell nimmt zu wenig Rücksicht darauf, dass
der Risiken und die Implementierung von Steuerungsmass-             unterschiedliche Risiken, insbesondere nicht-finan­­-
nahmen. Der ersten Linie kommt daher eine sehr wichtige,            zielle Risiken, unterschiedliche Ansätze erfordern
duale Rolle zu, indem sie Risiken eingeht und gleichzeitig          (vgl. Decaux & Sarens, 2015).
laufend beurteilt und überwacht.                                 —— Das Modell vermittelt eine Scheinsicherheit, weil
Der verantwortliche Aktuar unterstützt die Geschäfts­               so viele Funktionen für Risikomanagement zuständig
leitung durch seine Beurteilung technischer Aspekte;                sind, dass sich letztlich niemand wirklich verant­
er steht damit, wie die Geschäftsleitung als Ganzes,                wortlich fühlt (vgl. Davies & Zhivitskaya, 2018).
ausserhalb der drei Verteidigungslinien. Der verant­wort­        —— Dem Umstand, dass die erste Verteidigungslinie
liche Aktuar erstellt jährlich einen Bericht zuhanden der           die wichtigste Rolle in der Umsetzung des Risiko-
Geschäftsleitung, in dem neben der Beurteilung auch                 appetits einnimmt, muss mehr Nachdruck verliehen
Massnahmen zur Behebung erkannter Unzulänglichkeiten,               werden (Davies & Zhivitskaya, 2018).
für die durch ihn abzudeckenden Themen, einfliessen.
                                                                 —— Klärungsbedarf hat des Weiteren der Interessen­skon­
Die Funktionen Risikomanagement sowie Compliance                    flikt der ersten Linie, gleichzeitig Rendite- und Risiko-
bilden die zweite Verteidigungslinie. Sie verantwortet              ziele umsetzen zu müssen (Arndorfer & Minto, 2015).
die Etablierung des Risikomanagement-Rahmenwerks,
                                                                 —— Unklar, respektive zu definieren, ist das Aufgabenspek­
der Prozesse und des Kontrollsystems. Sie koordiniert
                                                                    trum der zweiten Linie, die einerseits unabhängig,
die regelmässige und ad-hoc Risikoberichterstattung
                                                                    aber dennoch in enger Zusammen­arbeit mit der ers-
an das Management und oft auch direkt an den Verwal­
                                                                    ten Linie operieren soll (Arndorfer & Minto, 2015; COSO
tungsrat. Sie überwacht die Organisation und Funktions-
                                                                    & IIA, 2015; Davies & Zhivitskaya, 2018; Sweeting, 2017).
fähigkeit der ersten Verteidigungslinie und überprüft
                                                                 —— Sind Erfahrung, Wissen und interne Stellung von Mit-
die Einhaltung von Gesetzen, Weisungen und Regeln.
                                                                    arbeitenden in der ersten Linie besser als in der zwei-
Die dritte Verteidigungslinie umfasst die interne Revision,
                                                                    ten Linie, kann dies dazu führen, dass die zweite Linie
welche die Effektivität und Effizienz der Kontroll­mass­
                                                                    nur behandelt, was sich die erste Linie entscheidet zu
nahmen und des Risikomanagement­prozesses sowie die
                                                                    zeigen oder zu diskutieren (Arndorfer & Minto, 2015;
Zusammenarbeit der Verteidigungslinien beurteilt und als
                                                                    Davies & Zhivitskaya, 2018).
unabhängige Instanz direkt dem Verwaltungsrat berichtet.
                                                                 —— Externe Prüfer und Regulatoren sollen als vierte
                                                                    Verteidigungslinie im Modell hinzugefügt werden
KRITIK AM MODELL                                                    (Arndorfer & Minto, 2015), um deren ergänzende
Während ein weitgehender Konsens bezüglich der groben               Rolle hervorzuheben.
Struktur der drei Linien besteht, gibt es doch wesentliche
                                                                 Damit verbundene Fragestellungen beschäftigen auch die
Unterschiede in der operativen Umsetzung (Davies & ­
                                                                 Schweizer Versicherungsindustrie, wo sich das Modell der
Zhivitskaya, 2018). Aktuelle Kritik und Diskus­sionen in
                                                                 drei Verteidigungslinien seit vielen Jahren etabliert hat.
Wissenschaft und Praxis im Finanzbereich umfassen unter
anderem folgende Themenbereiche:
—— Das Modell ist zu restriktiv und limitiert, es wer­den
   eher reaktive «Verteidigungsaktivitä­ten» als ein
   proaktiver Ansatz gefördert (vgl. The Institute
   of Internal Auditors, 2019).

                                                                                                         MAZARS & ZHAW I 9
STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN

SCHWEIZER AUFSICHTSPRAXIS                                                   DAS MODELL IN DER BERICHT­ERSTATTUNG
In den sogenannten Vor-Ort-Kontrollen, welche durch die                     DER SCHWEIZER VERSICHERER
Aufsicht durchgeführt werden, werden häufig die allgemei­                   Um einen Eindruck zu gewinnen, inwieweit das Modell
nen Corporate Governance Prinizipien des FINMA-Rund­                        der drei Verteidigungslinien in die Berichterstattung
schrei­­­­­bens 17/2 auf deren Angemessenheit untersucht                    von Schweizer Versicherungsunternehmen bereits
und beurteilt. Dabei wird insbesondere untersucht, ob die                   Einzug gehalten hat, wurden 126 Berichte zur Finanz­-
Kontrollfunktio­­nen unabhängig, deren Aufgaben, Kompeten-                  lage (Geschäfts­jahr 2018) analysiert.2 Innerhalb der
zen und Verant­wor­tungen und die Risikomana­gement- ­und                   analysierten Berichte haben 51 Versiche­rungs­­unter­
Compliance-Prozes­se ausreichend und klar definiert sind                    nehmen explizit auf das Modell der drei Verteidi­gungs­-
und kontinu­ier­lich umgesetzt werden. Des Weiteren wird die                linien verwiesen.
Ausge­staltung des Aufgaben­spektrums der zweiten Linie                     Die Auswertung zeigt, dass insgesamt 40.5 % der unter­
hinsichtlich Beurteilung der Angemessen­heit und Wirk­sam­-                 suchten Unternehmen im Bericht zur Finanzlage Bezug
keit des Risikomanagementsystems und internes Kontroll-                     zum Modell der drei Verteidi­gungs­linien nehmen. 10.3 %
system oft diskutiert.                                                      beschreiben die Umsetzung des Modells, was in der Ab­-
                                                                            bildung 2 als ausführliche Beschreibung gewertet wurde.
                                                                            Während die Berichterstattung kein Indiz für die Wichtigkeit
                                                                            oder den Um­setzungsstand im Unternehmen darstellt,
                                                                            so ist sie doch ein Hinweis auf die Relevanz, welche der
                                                                            Kommu­nikation des Modells der drei Verteidi­gungs­li­nien
                                                                            als Ansatz zur ganzheitlichen Umsetzung des Governance-­
                                                                            Systems zuge­sprochen wird. Die Verteilung ist weitge­hend
                                                                            unabhängig vom Versicherungssegment.

                                                                            Abbildung 2: Erwähnung des Modells der drei
                                                                            Verteidigungslinien im Bericht über die Finanzlage
                                                                            (ohne Zweigniederlassungen, n=126)

                                                                            80                                               Lebens- / Sach-
                                                                                                                              versicherung
                                                                            70

                                                                            60
                                                                                                                                     40
                                                                            50

                                                                            40
                                                                                      Kranken-              Rück-
                                                                                    versicherung         versicherung
                                                                            30

                                                                            20             17                                        20
                                                                                                                18
                                                                            10
                                                                                           10                    8
                                                                              0             2                    1                   10

                                                                             KEINE EXPLIZITE NENNUNG NENNUNG DES MODELLS
                                                                             NENNUNG UND AUSFÜHRLICHE BESCHREIBUNG DES MODELLS

2
    Von 176 analysierten Berichten stammten 50 Berichte von Niederlassungen ausländischer Gesellschaften, welche bei der weiteren Analyse keine
    Berücksichtigung fanden.

10 I MAZARS & ZHAW
MAZARS & ZHAW I 11
STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN

DESIGN UND ERGEBNISSE DER STUDIE

Die Methodik der vorliegenden Studie basiert auf einer Kombination von quantitativer und qualitativer Befragung (Abbildung 3).
Die quantitative Befragung mittels Online-Survey fand zwischen dem 22. August und dem 30. Sep­tember 2019 statt. Gleichzeitig
haben die Autoren mit 12 Vertretern der zweiten und dritten Verteidigungs­linie verschiedener Versicherungsgesellschaften ein
Exper­ten­gespräch geführt (vgl. Interviewpartner S.31). Aussagen aus diesen Gesprächen finden sich als Zitate hervorgehoben und
im Text integriert. Die Aussagen der Interviewpartner wurden anonymisiert und möglichst wortgetreu transkribiert. Wir bedanken
uns bei allen, die mit ihrer Teilnahme an der Befragung und an den Gesprächen zu dieser Studie beigetragen haben.

Insgesamt haben 35 Versicherungsunternehmen an der                      Unter Berücksichtigung von ausgeübten Doppelfunk­tionen
Online Befragung teilgenommen, haupt­sächlich Verant­                   verschiebt sich die Gewichtung in Richtung qualitatives
wortliche der zweiten Vertei­di­gungs­linie (Abbildung 6).              Risiko­management / Interne Kontrolle und Legal / ­Com­pli­a­nce
Der Fragebogen stand in Deutsch, Französisch und Englisch               (Abbildung 6). Andere bezeichnen überwiegend Funktionen
zur Verfügung. Die befragten Untenehmen lassen sich                     im Management (CEO), welche sich keiner der Funktionen
anhand ihrer Geschäftstätigkeit in Lebens- und Sachver­-                zuordnen lassen.
si­cherer, Rückversicherer und Krankenversicherer katego­-
risieren (Abbildung 4).                                                                  «Das Modell ist nützlich,
Prozentangaben beziehen sich immer auf die Gesamtzahl                                       da es bekannt ist,
                                                                                      man kann sich darauf beziehen.»
der Antworten, die bei der jeweiligen Frage abgegeben
wurden. Wurden die Antworten zu mehreren Fragen zu
einem Indikator aggregiert, wurde dazu das arithmetische
Mittel benutzt. Eine Abweichung der addierten Antworten
von 100 % resultiert durch eine Rundung der Antworten                   NUTZEN DES MODELLS
auf ganze Zahlen.
                                                                        Den grössten Nutzen des Modells der drei Verteidi­gungs­
Die Studienteilnehmer lassen sich den FINMA-Aufsichts­                  linien sehen die befragten Unternehmen in der Verdeut­
kategorien 2 bis 5 zuordnen (Abbildung 5). Die Kategorie                lichung der Wichtigkeit der Risiko- und Kontrollfunktionen
dient im Rahmen dieser Studie als Indikator für die Unter­              für das Unternehmen und in einer ganzheitlicheren Um-
nehmensgrösse, wobei Kategorie 2 grossen und Kategorie 5                ­setzung von Risikomanagement (Abbildung 7). Dies wird
kleineren Unternehmen entspricht. Im Rahmen dieser                       von jeweils 83 % der befragten Unternehmen als (sehr)
Studie wurden die Kategorien 4 und 5 zusammenge­fasst                    wichtig beurteilt. Den geringsten Nutzen messen die
und gemeinsam ausgewertet, da nur wenige Unternehm­                      Unternehmen der Organisation der Berichterstattung
en der Kategorie 5 teilgenommen haben.                                   an verschiedene Adressaten bei. Auf Nachfrage gaben
Die insgesamt 35 befragten Unternehmensvertreter lassen                  die Unternehmen an, dass die jeweiligen Berichte ohne­
sich primär den Funktionen qualitatives Risikomanagement /               hin erstellt werden und dabei grösstenteils auf einen
Interne Kontrolle und Finanzen / Rechnungswesen zuordnen.                gemeinsamen Informationspool zurückgegriffen wird.

Abbildung 3: Methodisches Vorgehen

   DESK                        QUALITATIVE                     QUANTITATIVE
   RESEARCH                    BEFRAGUNG                       BEFRAGUNG                            STUDIE

12 I MAZARS & ZHAW
Abbildung 4: Welches Geschäft                 Abbildung 5: Welcher Aufsichtskategorie                  Abbildung 6: In welcher Funktion sind Sie für
betreibt Ihr Unternehmen? (n=35)              ist Ihr Unternehmen zugeteilt? (n=35)                    Ihr Unternehmen tätig? (Mehrfachauswahl,
                                                                                                       n=35)

     40 %                                                                        14 %
                                                        37 %                                             24 %                      31 %

                                                                                                       7%

                                    31 %                                                49 %            5%
29 %
                                                                                                                                   17 %
                                                                                                               17 %

 KRANKENVERSICHERUNG                          KATEGORIE 2                                             AKTUARIAT / QUANTITATIVES RISIKOMANAGEMENT
 RÜCKVERSICHERUNG                             KATEGORIE 3                                             ANDERE
 LEBENS- / SACHVERSICHERUNG                   KATEGORIEN 4 & 5                                        QUALITATIVES RISIKOMANAGEMENT / INTERNE KONTROLLE
                                                                                                        LEGAL / COMPLIANCE
                                                                                                        FINANZEN / RECHNUNGSWESEN
                                                                                                        INTERNE REVISION

Abbildung 7: Der grösste Nutzen des Modells der drei Verteidigungslinien wird gesehen in … (n=35)

             … einer ganzheitlichen Umsetzung von       3 % 3 % 11 %                     34 %                                  49 %
                                Risikomanagement

   … der Verdeutlichung der Wichtigkeit der Risiko-         11 %    6%                   43 %                                      40 %
      und Kontrollfunktionen für das Unternehmen

        … der Förderung der Einhaltung von Gesetz,          9%     11 %                  31 %                                  49 %
                            Weisungen und Regeln

        … der Koordination der Zuständigkeiten und      3 % 11 %            14 %                        46 %                                 26 %
                              Verantwortlichkeiten

                                                        3% 9%               20 %                               46 %                          23 %
                           … der Qualitätssicherung

                                                        3 % 14 %               17 %                     34 %                               31 %
 … der Einfachheit und Verständlichkeit des Konzepts

                                                        3%3% 9%                23 %                            37 %                          26 %
                     … einer gemeinsamen Sprache

       … der Institutionalisierung einer Balance von    6% 3%        17 %                17 %                  26 %                        31 %
   Risiko- / Kontrolle- gegenüber Ertrag- / Rendite-
                                          Tätigkeiten
        … der Organisation der Berichterstattung an     3 % 8.5 %         20 %                  23 %                       37 %                     8.5 %
                          verschiedene Adressaten

                                                        0                 20                    40                    60              80              100

               WEISS NICHT / NICHT BEURTEILBAR  STIMME NICHT ZU  STIMME EHER NICHT ZU  WEDER NOCH  STIMME EHER ZU  STIMME ZU

                                                                                                                               MAZARS & ZHAW I 13
STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN

Abbildung 8: Der grösste Nutzen nach Geschäftsfeld (nach Mittelwert) wird gesehen in ... (n=35)

                                                                                                                                                                                                                                                                                                                                                      Stimme
                                                                                                                                                                                                                                                                                                                                                         zu

                                                                                                                                                                                                                                                                                                                                                       Weder
                                                                                                                                                                                                                                                                                                                                                       noch

                                                                                                                                                                                                                                                                                                                                                      Stimme
                                                                                                                                                                                                                                                                                                                                                      nicht zu

                                                                                                                                                                                                   … der Einfachheit und
                                                                                                                                                                                           Verständlichkeit des Konzepts
                                                                                                                       … der Koordination der Zuständigkeiten
                                                                                                                                    und Verantwortlichkeiten

                                                                                                                                                                                                                                                                                                           … der Organisation der Berichterstattung
                                                                                                                                                                                                                                                                                                                       an verschiedene Adressaten
                                        … der Verdeutlichung der Wichtigkeit
                                       der Risiko- und Kontrollfunktionen für
                                                           das Unternehmen

                                                                                                                                                                                                                           … einer gemeinsamen Sprache
                                                                                … der Förderung der Einhaltung von
                                                                                     Gesetz, Weisungen und Regeln

                                                                                                                                                                … der Qualitätssicherung
    … einer ganzheitlichen Umsetzung
               von Risikomanagement

                                                                                                                                                                                                                                                         ... der Institutionalisierung einer Balance von
                                                                                                                                                                                                                                                               Risiko- / Kontrolle- gegenüber Ertrag- /
                                                                                                                                                                                                                                                                                     Rendite-Tätigkeiten
 KRANKENVERSICHERER  RÜCKVERSICHERER  LEBENS- / SACHVERSICHERER

                                                                                                                                                                                           UMSETZUNGSSTAND UND VORAUSSETZUNGEN
Aufgeteilt nach Geschäftsbereichen ergeben sich gering­                                                                                                                                    Das Modell der drei Verteidigungslinien ist seit vielen
fügig unterschiedliche Beurteilungen (Abbildung 8).                                                                                                                                        Jahren bei den Unternehmen etabliert. Dies bestätigten
Lediglich der Einfachheit und Verständlichkeit des Konzepts                                                                                                                                über 94 % der befragten Unternehmen (Abbildung 10).
messen die Rückversicherer nicht denselben Nutzen                                                                                                                                          Auch die Interviews bestätigen, dass die Unternehmen
bei wie Kranken-, Lebens- und Sachversicherer.                                                                                                                                             das Modell als Teil des unternehmensweiten Risiko­ma­
Eine deutlich differenziertere Beurteilung ergibt die Analyse                                                                                                                              nagements implementiert haben. Allerdings gibt das
der Ergebnisse nach Unternehmensgrösse (Abbildung 9).                                                                                                                                      Modell lediglich die grobe Struktur vor, daher bestehen
Kleinere Unternehmen messen der Einfachheit und Verständ­-                                                                                                                                 doch Unterschiede in der konkreten Umsetzung, insbe­
­lichkeit des Konzepts eine geringere Bedeutung zu, wohin­                                                                                                                                 sondere in der Ausgestaltung des Aufgabespektrums
 gegen grosse Unternehmen hier einen höheren Nutzen sehen.                                                                                                                                 der zweiten Linie sowie der Beurteilung der Zusammen-
                                                                                                                                                                                           arbeit der drei Linien. Dies zeigt sich in der Antwort, dass
                                                                                                                                                                                           die Zusammenarbeit der drei Verteidigungslinien noch
                                                                                                                                                                                           nicht bei allen Unternehmen regelmässig beurteilt wird.

                                                                                                                       «Eine Reife kann angenommen werden,
                                                                                                                     wenn die Risiko­sicht explizit einge­fordert wird
                                                                                                                        und kein lästiges Übel mehr darstellt.»

                                                                                                                                   «Ob das Modell der drei Verteidigungs­-
                                                                                                                                     ­linien wirklich gelebt wird, ist auch
                                                                                                                                             eine Frage der Kultur.»

14 I MAZARS & ZHAW
Abbildung 9: Der grösste Nutzen nach Aufsichtskategorie (nach Mittelwert) wird gesehen in ... (n=35)

                                                                                                                                                                                                                                                                                                                                                                                                   Stimme
                                                                                                                                                                                                                                                                                                                                                                                                      zu

                                                                                                                                                                                                                                                                                                                                                                                                    Weder
                                                                                                                                                                                                                                                                                                                                                                                                    noch

                                                                                                                                                                                                                                                                                                                                                                                                   Stimme
                                                                                                                                                                                                                                                                                                                                                                                                   nicht zu

                                                                                                                                                                                                                         … der Einfachheit und
                                                                                                                                                                                                                 Verständlichkeit des Konzepts
                                                                                                                              … der Koordination der Zuständigkeiten
                                                                                                                                           und Verantwortlichkeiten

                                                                                                                                                                                                                                                                                                                                              … der Organisation der Berichterstattung
                                                                                                                                                                                                                                                                                                                                                          an verschiedene Adressaten
                                                 … der Verdeutlichung der Wichtigkeit
                                                der Risiko- und Kontrollfunktionen für
                                                                    das Unternehmen

                                                                                                                                                                                                                                                      … einer gemeinsamen Sprache
                                                                                         … der Förderung der Einhaltung von
                                                                                              Gesetz, Weisungen und Regeln

                                                                                                                                                                              … der Qualitätssicherung
     … einer ganzheitlichen Umsetzung
                von Risikomanagement

                                                                                                                                                                                                                                                                                     ... der Institutionalisierung einer Balance von
                                                                                                                                                                                                                                                                                           Risiko- / Kontrolle- gegenüber Ertrag- /
                                                                                                                                                                                                                                                                                                                 Rendite-Tätigkeiten
 KATEGORIE 2  KATEGORIE 3  KATEGORIEN 4 & 5

Abbildung 10: Wie beurteilen Sie den Grad der Umsetzung des Modells der drei Verteidigungslinien innerhalb Ihres
Unternehmens (n=35)?

                                        Wir haben das Modell seit vielen Jahren                                                                6%                                                         31 %                                                                                                                         63 %
                                                                 implementiert

                                           Fragen der Umsetzung beschäftigen                                                                                           17 %                              3%                                      40 %                                                                                                                                    40 %
                                                            uns regelmässig

    Das Modell ist im Bewusstsein aller drei Linien                                                                                                                    14 %             6%                                                       49 %                                                                                                                                      31 %
                        verankert und wird gelebt

    Wir haben das Modell vollständig in Funktions-                                                                                                                     17 %                              6%                                      43 %                                                                                                                                      34 %
beschreibungen / Verantwortlichkeiten formalisiert

Nebst einzelnen Kontrollen und Prozessen wird bei                                                                                               6%                        14 %                                   20 %                                                               34 %                                                                                                        26 %
   uns auch die Wirksamkeit der Zusammenarbeit
 der drei Verteidigungslinien regelmässig beurteilt

                                                                                                                                      0                                                                   20                                     40                                                    60                                                                                 80                  100

                                          WEISS NICHT / NICHT BEURTEILBAR  STIMME NICHT ZU  STIMME EHER NICHT ZU  WEDER NOCH  STIMME EHER ZU  STIMME ZU

                                                                                                                                                                                                                                                                                                                                                                 MAZARS & ZHAW I 15
STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN

Abbildung 11: Welches sind die wichtigsten Voraussetzungen für eine erfolgreiche Umsetzung (n=35)?

    Tone at the top (Vorbild und Überzeugtheit der   3%       17 %                                          80 %
                                  Geschäftsleitung

 Konsistentes Verständnis von Wesentlichkeit und     3%6%                           46 %                                      46 %
      Risiko und einheitliche Bewertungskriterien

     Tone at the middle (Vorbild und Überzeugtheit   3% 9%                   31 %                                      57 %
                      des mittleren Managements)

    Maturität / Reifegrad des unternehmensweiten         9%    6%                      43 %                                   43 %
                        Risikomanagementsystems

  Entwicklung eines gemeinsamen Vokabulars und           6% 9%                          49 %                                      37 %
                        einheitlicher Definitionen

Klare und aktuelle Beschreibung von Pflichten und        9%     11 %                23 %                            57 %
          Aufgaben der verschiedenen Funktionen

    Schulungen / Informationsveranstaltungen zu          6%    14 %                        40 %                            40 %
    Governance, Risikomanagement und Kontrolle

Nutzung derselben Methoden über alle Funktionen      3 % 3 % 11 %           14 %                     46 %                                23 %
                          und Bereiche hinweg

                                                     0                 20                      40              60                 80            100

                          WEISS NICHT / NICHT BEURTEILBAR  UNWICHTIG  EHER UNWICHTIG  WEDER NOCH  EHER WICHTIG  SEHR WICHTIG

Als wichtigste Voraussetzung für eine erfolgreiche Um­set­                         Die Herausforderungen, welche sich in Bezug zur Im­ple­
zung des Modells sehen die befragten Unternehmen den                               men­tierung des Modells der drei Verteidigungslinien stellen,
Tone at the Top – die Vorbildfunktion und Überzeugtheit                            werden von den Unternehmen unterschiedlich beurteilt.
der Geschäftsleitung (Abbildung 11). Dies gaben rund 97 %                          Abbildung 12 gibt einen Überblick über alle befragten Unter-
der Unternehmen an. Auch die weiteren abgefragten                                  nehmen. Als grösste Herausforderung sehen über 77 %
Voraussetzungen werden von 80 % bis 91 % als wichtig                               der Unternehmen das konsistente Verständnis von Wesent-
bzw. sehr wichtig eingestuft. Als am wenigsten wichtig                             lichkeit und Risiko sowie unterschiedliche Bewertungsme­
wird die Nutzung derselben Methoden über alle Funktionen                           thoden oder Grundlagen in unterschiedlichen Bereichen /
und Bereiche hinweg beurteilt. Dies sahen nur rund 69 %                            Risikoarten. Doppelspurigkeiten, Redundanzen und deren
als wichtig bzw. sehr wichtig an. Rück-, Lebens- und Sach-                         Reduktion sind ein grosses Thema. Ansehen und Autorität
versicherer weisen dem konsistenten Verständnis von                                der Kontrollfunktionen und die (informelle) Delegation von
Wesent­lichkeit und Risiko und einheitlichen Bewertungs-                           Verantwortung an die Kontrollfunktionen bilden demge­gen-
kriterien zudem einen höheren Stellenwert zu als Kranken-                          ­über die geringsten Herausforderungen.
versicherer. Ebenso erachten die Krankenversicherer
eine klare und aktuelle Beschreibung von Pflichten und
Aufgaben der verschiedenen Funktionen als wichtiger
wie Rück-, Lebens- und Sachversicherer. Schulungen und
Informations­ver­anstaltungen zu Governance, Risiko­
mana­gement und Kontrolle beurteilen Lebens- und Sach­
versicherer hingegen wichtiger als Kranken- und
Rückversicherer.

16 I MAZARS & ZHAW
Abbildung 12: Herausforderungen in Bezug zur Implementierung des Modells der drei Verteidigungslinien (n=35)

      Konsistentes Verständnis von Wesentlichkeit     3% 6%           14 %                      31 %                                        46 %
                                      und Risiko

      Unterschiedliche Bewertungsmethoden oder            6%       11 %      6%                               54 %                                  23 %
       Grundlagen in unterschiedlichen Bereichen
                                    / Risikoarten
   Doppelspurigkeiten und Redundanzen bezüglich       3%3%            20 %           3%                   40 %                                   31 %
                              Kontrolltätigkeiten

                  Silodenken in den verschiedenen              23 %                      14 %                 26 %                               37 %
                               Verteidigungslinien

      Nutzung verschiedener (IT-)Systeme für die            11 %      9%                 20 %                         37 %                              23 %
Dokumentation der Risiko- und Kontroll-Tätigkeiten
                                  und Ergebnisse

 Berichterstattung an verschiedene Adressaten zu          6% 6%            17 %              11 %                     37 %                              23 %
                    unterschiedlichen Zeitpunkten

   Klarheit der Verantwortlichkeiten in Bezug zum     3% 6%               20 %               11 %                     37 %                              23 %
     Risikomanagement nicht-finanzieller Risiken

  Interessenskonflikte aufgrund unterschiedlicher         3 % 11 %                 23 %              9%                       40 %                        14 %
      Zielsetzungen in den drei Verteidigungslinien

                Fachkompetenz / Erfahrung in den          6%    9%                 23 %                11 %             26 %                            26 %
                             Kontrollfunktionen

Überprüfung der Wirksamkeit der Zusammenarbeit             9% 3%             23 %                    14 %                      34 %                      17 %
                                  der drei Linien

              Informationsaustausch zwischen den          6% 3%                31 %                       11 %                 31 %                      17 %
                               Verteidigungslinien

                                                           14 %           6%        17 %                    20 %             14 %                  29 %
Parallele Strukturen für Geschäft und Rechtseinheit

                                                      3% 9%                       29 %                        17 %             20 %                 23 %
     Ansehen und Autorität der Kontrollfunktionen

  (Informelle) Delegation von Verantwortung an die         11 %       6%              26 %                     17 %                  26 %                 14 %
                                Kontrollfunktionen

                                                      0                      20                      40                 60                  80                  100

              WEISS NICHT / NICHT BEURTEILBAR  STIMME NICHT ZU  STIMME EHER NICHT ZU  WEDER NOCH  STIMME EHER ZU  STIMME ZU

          «Wir hatten viele Insel­geschichten                                                       «Die Absprache und Abstimmung zwischen
           und bauten dann separate Tools.                                                              den Assurance Funktionen ist eine
 Allerdings wirken viele Massnahmen übergreifend,                                                           grosse Herausforderung.»
    sodass man dadurch viele Redundanzen und
             Inkonsistenzen produziert.»

           «Aufgrund der unterschied­lichen                                                         «Die erste Linie wurde in der Vergangenheit
    IT-Systeme hat man auch ein unterschiedliches                                                   zu stark durch nicht koordinierte Assurance
                    Vokabular.»                                                                                Tätigkeiten belastet.»

                                                                                                                                        MAZARS & ZHAW I 17
STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN

Abbildung 13: Herausforderungen in Bezug zur Implementierung des Modells der drei Verteidigungslinien
nach Geschäftsfeld (nach Mittelwert, n=35)

                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                           Stimme
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              zu

                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            Weder
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            noch

                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                           Stimme
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                           nicht zu
                                                                                                                                                                                                      Berichterstattung an verschiedene
                                                                                                                                                                                             Adressaten zu unterschiedlichen Zeitpunkten
                                                                                                                  Silodenken in den verschiedenen
                                                                                                                               Verteidigungslinien

                                                                                                                                                       Nutzung verschiedener (IT-)Systeme
                                                                                                                                                     für die Dokumentation der Risiko- und
                                                                                                                                                       Kontroll-Tätigkeiten und Ergebnisse

                                                                                                                                                                                                                                                                                                                                                           Überprüfung der Wirksamkeit der
                                                                                                                                                                                                                                                                                                                                                            Zusammenarbeit der drei Linien

                                                                                                                                                                                                                                                                                                                                                                                             Informationsaustausch zwischen den
                                                                                                                                                                                                                                                                                                                                                                                                              Verteidigungslinien

                                                                                                                                                                                                                                                                                                                                                                                                                                       Parallele Strukturen für
                                                                                                                                                                                                                                                                                                                                                                                                                                    Geschäft und Rechtseinheit

                                                                                                                                                                                                                                                                                                                                                                                                                                                                  Ansehen und Autorität der
                                                                                                                                                                                                                                                                                                                                                                                                                                                                        Kontrollfunktionen

                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              (Informelle) Delegation von Verantwortung
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                               an die Kontrollfunktionen
                                 Unterschiedliche Bewertungsmethoden
                                  oder Grundlagen in Unterschiedlichen
                                                Bereichen / Risikoarten

                                                                          Doppelspurigkeiten und Redundanzen
                                                                                  bezüglich Kontrolltätigkeiten

                                                                                                                                                                                                                                           Klarheit der Verantwortlichkeiten in
                                                                                                                                                                                                                                                Bezug zum Risikomanagement
                                                                                                                                                                                                                                                      nicht-finanzieller Risiken
  Konsistentes Verständnis von
     Wesentlichkeit und Risiko

                                                                                                                                                                                                                                                                                     Interessenskonflikte aufgrund
                                                                                                                                                                                                                                                                                   unterschiedlicher Zielsetzungen
                                                                                                                                                                                                                                                                                    in den drei Verteidigungslinien

                                                                                                                                                                                                                                                                                                                        Fachkompetenz / Erfahrung in den
                                                                                                                                                                                                                                                                                                                                     Kontrollfunktionen

 KRANKENVERSICHERER  RÜCKVERSICHERER  LEBENS- / SACHVERSICHERER

Bei Betrachtung der einzelnen Geschäftsfelder ergeben sich                                                                                                                                                                                                                                                            Die Analyse der Herausforderungen nach Aufsichts­kate­gorie
jedoch teilweise deutliche Unterschiede bei der Beur­tei­lung                                                                                                                                                                                                                                                         zeigt, dass die (informelle) Delegation von Ver­antwor­tung
(Abbildung 13). Insbesondere die Nutzung verschiedener (­IT-)                                                                                                                                                                                                                                                         an die Kontrollfunktionen am unterschied­lichs­ten von den
Systeme für die Dokumentation der Risiko- und Kontroll-­                                                                                                                                                                                                                                                              Versicherern beurteilt wird (Ab­bildung 14). Versiche­rer der
Tätig­keiten und Ergebnisse erfährt eine unter­schied­liche                                                                                                                                                                                                                                                           Kategorie 2 sehen hier keine Heraus­for­de­rung, wohin­gegen
Beurteilung von Kranken­versiche­rern und Lebens- / Sach­                                                                                                                                                                                                                                                             Versicherer der Kategorie 3 diese durchaus wahr­neh­men.
versicherern. Abweichend ist auch die Beurteilung der Klar-                                                                                                                                                                                                                                                           Auffallend ist auch die unterschied­liche Bewertung der
heit der Verantwor­tung in Bezug zum Risikomanagement                                                                                                                                                                                                                                                                 Berichterstattung an verschie­dene Adressaten zu unter-
nicht-finanzieller Risiken. Dies wird von den Rückversi­che­-                                                                                                                                                                                                                                                         schiedlichen Zeitpunkten. Diese wird von Versicherern der
rern als grösste Heraus­forderung eingestuft.                                                                                                                                                                                                                                                                         Kategorie 3 als Herausforde­rung einge­stuft, wohingegen
                                                                                                                                                                                                                                                                                                                      Versiche­rer der Katego­rie 2 keine besondere Herausforde­
                                                                                                                                                                                                                                                                                                                      rung sehen. Kleine Versicherer stehen mit ihrer Beurtei­lung
                                                                                                                                                                                                                                                                                                                      jeweils dazwischen, so dass ein Rückschluss auf die Un­ter­-
                                                                                                                                                                                                                                                                                                                      ­neh­mens­grösse nicht gezogen werden kann. Eine deutlich
                                                                                                                                                                                                                                                                                                                       unterschiedliche Beurteilung er­gibt sich auch bei den Fach-
                                                                                                                                                                                                                                                                                                                       kompetenzen / Erfahrungen in den Kontrollfunk­tionen. Hier
                                                                                                                                                                                                                                                                                                                       sehen kleinere Versiche­rungs­unterneh­men eine deutlich
                                                                                                                                                                                                                                                                                                                       geringere Herausfor­de­­rung als die grösseren Versiche­rungs­-
                                                                                                                                                                                                                                                                                                                       unternehmen.

18 I MAZARS & ZHAW
Konsistentes Verständnis von
                                                                                                                                                                                    Wesentlichkeit und Risiko

                                                                                                                                                                        Unterschiedliche Bewertungsmethoden
                                                                                                                                                                         oder Grundlagen in Unterschiedlichen
                                                                                                                                                                                       Bereichen / Risikoarten

                                                                                                                                                                         Doppelspurigkeiten und Redundanzen
                                                                                                                                                                                 bezüglich Kontrolltätigkeiten

                                                                                                                                                                              Silodenken in den verschiedenen
                                                                                                                                                                                           Verteidigungslinien

                                                                                                                                                                           Nutzung verschiedener (IT-)Systeme
                                                                                                                                                                         für die Dokumentation der Risiko- und
                                                                                                                                                                           Kontroll-Tätigkeiten und Ergebnisse
                                                                                                                                                                                                                                               nach Aufsichtskategorie (Mittelwert, n=35)

                                                                                                                                                                            Berichterstattung an verschiedene

                                                                                                                   KATEGORIE 2  KATEGORIE 3  KATEGORIEN 4 & 5
                                                                                                                                                                   Adressaten zu unterschiedlichen Zeitpunkten

                                                                                                                                                                           Klarheit der Verantwortlichkeiten in
                                                                                                                                                                                Bezug zum Risikomanagement
                                                                                                                                                                                      nicht-finanzieller Risiken

                                                                                                                                                                                 Interessenskonflikte aufgrund
                                                                                                                                                                               unterschiedlicher Zielsetzungen
                                                                                                                                                                                in den drei Verteidigungslinien

                                                                                                                                                                            Fachkompetenz / Erfahrung in den
                                                                                                                                                                                         Kontrollfunktionen

                                                                                                                                                                             Überprüfung der Wirksamkeit der
                                                                                                                                                                              Zusammenarbeit der drei Linien

                        «Falls die Fachkompetenz keine
                                                                     ‹Super-Revisoren› dann auch noch

                      Herausforderung darstellt, ist man
                                                                   «Interne Revisoren müssen analytisch

                     wahrscheinlich zu wenig ambitioniert.»
                                                                   eine hohe Fachkompetenz mitbringen.»
                                                                  mitbringen. Darüber hinaus sollen diese
                                                                                                                                                                          Informationsaustausch zwischen den
                                                                                                                                                                                           Verteidigungslinien

                                                              sehr gut sein, sowie eine investigative Denkweise
                                                                                                                                                                                       Parallele Strukturen für
                                                                                                                                                                                    Geschäft und Rechtseinheit

                                                                                                                                                                                     Ansehen und Autorität der
                                                                                                                                                                                           Kontrollfunktionen
                                                                                                                                                                                                                                               Abbildung 14: Herausforderungen in Bezug zur Implementierung des Modells der drei Verteidigungslinien

                                                                                                                                                                     (Informelle) Delegation von Verantwortung
                                                                                                                                                                                      an die Kontrollfunktionen
                                                                                                                                                                                                                                         zu

                                                                                                                                                                                                                              noch
                                                                                                                                                                                                                              Weder
                                                                                                                                                                                                                                      Stimme

                                                                                                                                                                                                                   Stimme
                                                                                                                                                                                                                   nicht zu

MAZARS & ZHAW I 19
STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN

Abbildung 15: Abdeckung verschiedener Aufgaben durch Risikomanagement, Compliance, Interne Revision und externe
Dienstleister (n=35)

GESAMT
Alle Angaben in Prozent

100                                                                                                                                                                                       94                                                                                       94
      91                                              91%                                    91
                                                                                                                                                88
                                                                                                                                                                                                                                                                                                                         85

80
                                                                                                                                                                                                                                                                                                                                                                                                                                        69
                                                                                                                                                                                                                                                                                                                                                                                                  66                                                       66
                                                                                                                                                                                                                                        60                                                                                                                                                                                                                                                          60
60                                                                                                                                                                                                                                                                                                                                                                54
                                                                                                  51%                                                                                                                                                                                                                                                                                                                  51
                                                                                                                                                                                                48                                                                                                                                          48                                                         49

                                                                                                                                                                                                                                                                                                   40                         40                                       40
40                                                                                                                        34%                                                                                                                                                                                                                                                                                                                 34
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      37
                                                                                                                                                                                                                                                                             31
                                                                                                                                                                                                                                                                                                                                                                                                                                                                               28
                                                                                                                                                                                                                                                                        26
              23                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                               23 23
                            20                             20%                                                                                                                                                                                                                                                                                                                                                                                                                                                           20
20                                                                                                                                                   14 14                                                                                              14                                                                                                                         14
                                                                                                                                                                                                                                                                                                                                                                                                                                                                        17                                        17
                                                                                                                                          11%                                      11                                                                                                                                                                                                                                              11                                                                                               11
                                                                                                                                                                                                                   8                                                                                                9
                                                                                                                                                                                                                                                                                                                                                              6                               6
                                                 3%                                     3%                                                                                                                                          3        3
 0                                                                   0%
                                                                      0
                                                                                                                                                                                                                                                                              Überprüfung der Einhaltung von Gesetzen,
                                                                                                                                                                                                                                                                                                Weisungen und Regeln

                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        Einholen von externen Assurance Berichten
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            (wie PS 950 Bericht, ISAE 3000 Report,
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                 ISAE 3402 Report, US SOC Report)
                                                                                                                                                 Beratung des obersten Organs bezüglich
                                                                                                                                                          Risiko- / Rendite-Abwägungen

                                                                                                                                                                                                                                                                                                                                                                                                       Kontrollprüfung (Testing)

                                                                                                                                                                                                                                                                                                                                                                                                                                             Beurteilung der Wirksamkeit und
                                                                                                                                                                                                                                                                                                                                                                                                                                         Angemessenheit des Kontrollumfelds
                                                                                                                                                                                                                                                                                                                                                                       Kontrolldurchführung
                                                                                                                                                                                                                                             Validierung von Modellen

                                                                                                                                                                                                                                                                                                                          Überwachung des Risikomanagements
                                                                                                                                                                                                                                                                                                                                  der ersten Verteidigungslinie
                                                       Entwicklung und Definition von
                                                                   Risikoindikatoren

                                                                                                                                                                                           Beratung der ersten Verteidigungslinie
                                                                                                                                                                                                                bei Risikofragen

                                                                                                                                                                                                                                                                                                                                                                                                                                                                                Überprüfung der Ordnungsmässigkeit
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                       aller Aktivitäten und Prozesse
                                                                                                  Berichterstattung über die Risikolage
             Entwicklung und Überwachung des
        Risikorahmenwerks sowie der Leitlinien

  RISIKOMANAGEMENT  COMPLIANCE  INTERNE REVISION EXTERNE DIENSTLEISTER

AUFGABENSPEKTRUM DER KONTROLL­FUNKTIONEN
Der Grossteil der Risiko- und Kontrolltätigkeiten wird von                                                                                                                                                                                                                                                        Ergänzend gaben einige Befragte an, dass auch das Business
der Risikomanagement-Funktion wahrgenommen (Ab­­bil­                                                                                                                                                                                                                                                              Continuity Management sowie einzelne Risikoassessments
dung 15). Bei denjenigen Aufgaben, an denen das Risiko­                                                                                                                                                                                                                                                           und Erstellung von Risikoszenarien zu den Aufgaben des
management nicht federführend ist, ist es zumindest einge­                                                                                                                                                                                                                                                        Risikomanagements gehören. Zu den weiteren Aufgaben
bunden. Die Überprüfung der Einhaltung von Ge­setzen,                                                                                                                                                                                                                                                             der Compliance Funktion gehören auch Sensibilisierungen
Weisungen und Regeln liegt, wie erwartet, in der Verantwor­                                                                                                                                                                                                                                                       und Schulungen zu den jeweiligen Themen und Aufgaben.
tung der Compliance Funktion. Der Fokus der internen                                                                                                                                                                                                                                                              Darüber hinaus wurden, nebst den abgefragten, keine
Revision liegt auf der Überprüfung der Ord­nungs­­­mässigkeit                                                                                                                                                                                                                                                     weiteren Aufga­ben genannt. Nicht abgefragt wurde das
aller Aktivitäten und Prozesse, der Be­urteilung der Wirksam­                                                                                                                                                                                                                                                     Aufgabenspektrum der ersten Verteidigungs­linie. Auffallend
keit und Angemessenheit des Kontrollumfeldes, des Testings                                                                                                                                                                                                                                                        ist, dass Aufgaben wie beispielsweise Kontrollprüfung
sowie der Überwachung des Risikomanagements der zwei-                                                                                                                                                                                                                                                             (Testing) oder die Berichterstattung über die Risikolage von
ten Linie. Diese Aufgaben werden mehrheitlich selbst und                                                                                                                                                                                                                                                          mehreren Kontrollfunktionen wahrgenom­men werden.
selten von externen Dienstleistern erfüllt.

20 I MAZARS & ZHAW
Abbildung 16: Anteil der Kontrollfunktionen am
                                                             Aufgabenspektrum nach Geschäftsbereichen (n=35)
Die insgesamt häufigsten Nennungen waren die
Auf­gaben «Berichterstattung über die Risikolage»,                   Kranken-           Rück-        Lebens- / Sach-
                                                                   versicherung      versicherung     versicherung
«Beurteilung der Wirksamkeit und Angemessenheit
                                                             100            5%             14 %                3%
des Kontrollumfeldes» sowie «Überwachung des
Risikomanagements der ersten Verteidigungslinie».                                                             22 %
                                                              80           26 %            17 %
Bei einer aggregierten Betrachtung aller genannten
Aufgaben übernimmt das Risikomanagement bei
allen Geschäftsfeldern die meisten Aufgabenarten (vgl.
                                                              60           17 %            22 %               33 %
Abbildung 16). Unterschied­lich ist das Spektrum von
Compliance und Interner Revision. Bei den Kranken­
ver­sicherern hat die Interne Revision ein breiteres Auf­     40
gabenspektrum als Compliance. Letztere nehmen im
Vergleich bei Rück, Lebens- und Sachversicherern ein
höheres Auf­gaben­spektrum wahr. Externe Dienstleister        20
werden in diesem Zusammenhang am meisten von den
Rückversicherern genutzt, machen jedoch nur einen             0            52 %            47 %               42 %
geringen Anteil am gesamten Aufgabenspektrum aus.
                                                              RISIKOMANAGEMENT  COMPLIANCE  INTERNE REVISION
Die Betrachtung nach Aufsichtskategorie zeigt, dass,
                                                             EXTERNE DIENSTLEISTER
über alle Kategorien hinweg, das Risikomanagement
das grösste Aufgabenspektrum abdeckt (vgl. Abbildung
17). Bei grossen Unternehmen fällt das im Vergleich hohe     Abbildung 17: Anteil der Kontrollfunktionen am
Aufgabenspektrum der Com­pliance auf. Auch bei kleine-       Aufgabenspektrum nach Aufsichtskategorie (n=35)
ren Versicherern wird rund ein Viertel des abgefragten
Aufgabenspektrums durch Compliance (mit-) abgedeckt.                Kategorie 2      Kategorie 3     Kategorien 4 & 5

Bei Versicherern der Aufsichtskategorie 3 hat im Vergleich   100            4%              7%               10 %
die Interne Revision ein grösseres Auf­ga­benspektrum                      17 %
als die Funktion Compliance. Externe Dienst­leister wer-                                   24 %
                                                              80                                             19 %
den am häufigsten von kleinen und mittel­grossen Rück-
versicherungsunternehmen in Anspruch genommen.
                                                              60           35 %            19 %              27 %
    «Die ‹Ownership› für Risiken sollte nach wie vor
 formell wie auch kulturell in der ersten Linie liegen.»
                                                              40
«Hier könnte man wie im Formel 1-Geschäft anmerken,
dass, trotz vieler Regeln und Aufseher, immer noch die
   Fahrer die wichtigsten Entscheidungen treffen.»            20

                                                              0            43 %            50 %              44 %

                                                              RISIKOMANAGEMENT  COMPLIANCE  INTERNE REVISION
                                                             EXTERNE DIENSTLEISTER

                                                                                               MAZARS & ZHAW I 21
STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN

Abbildung 18: Abdeckung verschiedener Aufgaben durch Risikomanagement, Compliance, Interne Revision und externe
Dienstleister bei Krankenversicherer (n=10)

KRANKENVE RSICHERER
Alle Angaben in Prozent

      100                                        100                                100                                                                                              100                                                                          100
100
                                                                                                                                                                                                                                                                                                               90

                                                                                                                                       80                                                                                                                                                                                                                                                                                                       80
80
                                                                                                                                                                                                                                                                                                                             70                                                         70                                     70

                                                                                                                                                                                                                                                                                    60                                                                                                                60                                                                               60
60
                                                                                                                                                                                                                               50                                                                                                                       50

                                                                                      40                                                                                                                                                                                                                                                                                                                                                                              40 40                                                         40
40
                                                                                                                                                                                                                                                               30                                                 30                                                                         30

                                                                                                        20                                                                                  20 20                                                                                                                                                            20 20                                                                                                                                                20
20
                                                                         10                                                       10        10 10 10                                                                                           10 10                                             10                                                                                                                       10                                10                                                             10 10

 0              0 0 0                                     00                                                                                                                                                             0          0                                                                                                      0                                        0                                                 0                                                              0
                                                                                                                                                                                                                                                                Überprüfung der Einhaltung von Gesetzen,
                                                                                                                                                                                                                                                                                  Weisungen und Regeln

                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                               Einholen von externen Assurance Berichten
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   (wie PS 950 Bericht, ISAE 3000 Report,
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        ISAE 3402 Report, US SOC Report)
                                                                                                                                            Beratung des obersten Organs bezüglich
                                                                                                                                                     Risiko- / Rendite-Abwägungen

                                                                                                                                                                                                                                                                                                                                                                                              Kontrollprüfung (Testing)

                                                                                                                                                                                                                                                                                                                                                                                                                                    Beurteilung der Wirksamkeit und
                                                                                                                                                                                                                                                                                                                                                                                                                                Angemessenheit des Kontrollumfelds
                                                                                                                                                                                                                                                                                                                                                             Kontrolldurchführung
                                                                                                                                                                                                                                    Validierung von Modellen

                                                                                                                                                                                                                                                                                                                Überwachung des Risikomanagements
                                                                                                                                                                                                                                                                                                                        der ersten Verteidigungslinie
                                                   Entwicklung und Definition von
                                                               Risikoindikatoren

                                                                                                                                                                                      Beratung der ersten Verteidigungslinie
                                                                                                                                                                                                           bei Risikofragen

                                                                                                                                                                                                                                                                                                                                                                                                                                                                       Überprüfung der Ordnungsmässigkeit
                                                                                                                                                                                                                                                                                                                                                                                                                                                                              aller Aktivitäten und Prozesse
                                                                                          Berichterstattung über die Risikolage
             Entwicklung und Überwachung des
        Risikorahmenwerks sowie der Leitlinien

  RISIKOMANAGEMENT  COMPLIANCE  INTERNE REVISION EXTERNE DIENSTLEISTER

Bei der Differenzierung nach Geschäftsfeld ist auffallend,                                                                                                                                                                                                                                                 den anderen Gesellschaften ins Auge (Ab­bil­dungen 16 und
dass bei den Krankenversicherern einzelne Aufgaben aus-                                                                                                                                                                                                                                                    19). Mit jeweils über 40 % sind diese in die Validierung von
schliesslich vom Risikomanagement wahrge­nommen wer-                                                                                                                                                                                                                                                       Modellen und die Überprüf­ung der Ord­nungs­mässigkeit aller
den (Abbildung 18). So beispielsweise die Entwick­lung                                                                                                                                                                                                                                                     Aktivitäten und Prozesse einge­bunden. Auch das Einholen
und Überwachung des Risikorahmenwerks sowie der Leit­-                                                                                                                                                                                                                                                     von unabhängigen Assu­rance Berichten wird primär ­durch
linien. Des Weiteren zeigen die Rückmeldun­gen der Teilneh­                                                                                                                                                                                                                                                externe Dienst­leister durchgeführt. Darüber hinaus ist das
menden, dass die Interne Revision bei Kranken­ver­si­cherern                                                                                                                                                                                                                                               Aufgabenspektrum des Risikomanagements bei einigen
im Vergleich zu Rück-, Lebens- und Sachversicherern ein                                                                                                                                                                                                                                                    Rückversicherern im Vergleich zu den Unternehmen anderer
grösseres Aufgabenspektrum wahrnimmt. Bei den Rück-                                                                                                                                                                                                                                                        Sparten weniger breit. Eine mögli­che Erklärung ist die
versicherungsunternehmen sticht die im Vergleich hohe                                                                                                                                                                                                                                                      verstärk­te Tendenz, insbe­sondere bei kleineren Rück­ver-
Beteiligung von externen Dienstleistern im Vergleich zu                                                                                                                                                                                                                                                    sicherern, Auf­gaben zu externalisieren.

22 I MAZARS & ZHAW
Abbildung 19: Abdeckung verschiedener Aufgaben durch Risikomanagement, Compliance, Interne Revision und externe
Dienstleister bei Rückversicherer (n=14)

RÜCKVERSIC HERER
Alle Angaben in Prozent

100                                                                                                                                  93
                                                 86                                                                                                                                  86                                                                                  86

80    79                                                                           79                                                                                                                                                                                                                           79
                                                                                                                                                                                                                                                                                                                                                                                      71
                                                                                                                                                                                                                                                                                                                                                         64                                                                  64
60                                                                                                                                                                                                                             57                                                                                                                                                                                                                                                             57
                                                                                                                                                                                                                                                                                                                                                                                                                                            50
                                                                                                                                                                                           43                                                                  43                                                                                                                          43 43                                                                                                            43
40                                                                                      36                                                                                                                                                                                                                                                                    36                                                                                         36
            29                                                                                                29                                                                                                                                                    29                                                                                                                                                                                                                                                                             29
                          21                          21                                                                                                                                                                                                                                21                                          21                                                                                  21                                                      21
20                                                                                                                              14                      14 14                                                                              14                                                         14             14                                                                                                       14                                                                                             14
                                          7                                                                                                  7                                                              7                       7                                                                                                             7                      7 7                                                                                           7                                              7                    7

 0                                                               0 0                                                                                                                                                       0
                                                                                                                                                                                                                                                                     Überprüfung der Einhaltung von Gesetzen,
                                                                                                                                                                                                                                                                                       Weisungen und Regeln

                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   Einholen von externen Assurance Berichten
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                       (wie PS 950 Bericht, ISAE 3000 Report,
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            ISAE 3402 Report, US SOC Report)
                                                                                                                                          Beratung des obersten Organs bezüglich
                                                                                                                                                   Risiko- / Rendite-Abwägungen

                                                                                                                                                                                                                                                                                                                                                                                            Kontrollprüfung (Testing)

                                                                                                                                                                                                                                                                                                                                                                                                                                  Beurteilung der Wirksamkeit und
                                                                                                                                                                                                                                                                                                                                                                                                                              Angemessenheit des Kontrollumfelds
                                                                                                                                                                                                                                                                                                                                                               Kontrolldurchführung
                                                                                                                                                                                                                                    Validierung von Modellen

                                                                                                                                                                                                                                                                                                                 Überwachung des Risikomanagements
                                                                                                                                                                                                                                                                                                                         der ersten Verteidigungslinie
                                                  Entwicklung und Definition von
                                                              Risikoindikatoren

                                                                                                                                                                                      Beratung der ersten Verteidigungslinie
                                                                                                                                                                                                           bei Risikofragen

                                                                                                                                                                                                                                                                                                                                                                                                                                                                           Überprüfung der Ordnungsmässigkeit
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  aller Aktivitäten und Prozesse
                                                                                        Berichterstattung über die Risikolage
             Entwicklung und Überwachung des
        Risikorahmenwerks sowie der Leitlinien

  RISIKOMANAGEMENT  COMPLIANCE  INTERNE REVISION EXTERNE DIENSTLEISTER

                                                                                                                                                                                                            «Natürlich findet die Beratung und
                                                                                                                                                                                                             Revision objektgetrennt statt.»

                                                                                                                                                                                   «Unter dem Deckmäntelchen der Unabhängigkeit
                                                                                                                                                                                        alles zu isolieren und zu separieren,
                                                                                                                                                                                          ist weder effizient, noch effektiv.»

                                                                                                                                                                          «Es besteht die Gefahr, dass die Assurance
                                                                                                                                                                       Funktionen gemäss Buchstabe ‹unabhängig› sind,
                                                                                                                                                                        dann aber keine Erfahrungen sammeln können
                                                                                                                                                                        und den Bezug zur Geschäftsrealität verlieren.»

                                                                                                                                                            «Damit gute Risikoentscheide getroffen werden,
                                                                                                                                                               sollten alle Perspektiven vertreten sein,
                                                                                                                                                          genau darin besteht ja der Balance-Mechanismus.»

                                                                                                                                                                                                                                                                                                                                                                                                                                                                    MAZARS & ZHAW I 23
STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN

Abbildung 20: Abdeckung verschiedener Aufgaben durch Risikomanagement, Compliance, Interne Revision und externe
Dienstleister bei Lebens- / Sachversicherer (n=11)

LEBENS- / SACHVERSIC HERER
Alle Angaben in Prozent

      100                                                                          100                                                                                         100                                                                        100
100
                                                 91                                                                                  91                                                                                                                                                                  91                                                                                                                 91

                                                                                     82                                                                                              82                                                                                                                       82
80
                                                                                                                                                                                                                         73                                                                                                                                                            73                              73              73

                                                                                                                                                                                                                                                                                                                          64                           64                                                                                                                       64
60                                                                                                     55                                                                                                                                                                                                                                                                         55                 55                                                            55
            14%
                                                                                                                                                                                                                                                                          45                                                                      45                                                                                                          45

40         36 36                                      36                                                                                                                                                                                                 36                                                                                                                                                                                                                                              36

                                                                                                                                          27                                                                                                                                                                                                                                                                                                                                                                                 27

20                                                                                                                                                  18                                                                                    18 18                                                                                                                18

                                                                                                                                 9                                   9                                             9                                                                                                                      9                                   9                                                                                                                                      9                   9

 0                                        0                       00                                                                                                                                 0                        0                                                              0                                                                                                                     0                                 0                                           0
                                                                                                                                                                                                                                                          Überprüfung der Einhaltung von Gesetzen,
                                                                                                                                                                                                                                                                            Weisungen und Regeln

                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                       Einholen von externen Assurance Berichten
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                           (wie PS 950 Bericht, ISAE 3000 Report,
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                ISAE 3402 Report, US SOC Report)
                                                                                                                                      Beratung des obersten Organs bezüglich
                                                                                                                                               Risiko- / Rendite-Abwägungen

                                                                                                                                                                                                                                                                                                                                                                                       Kontrollprüfung (Testing)

                                                                                                                                                                                                                                                                                                                                                                                                                            Beurteilung der Wirksamkeit und
                                                                                                                                                                                                                                                                                                                                                                                                                        Angemessenheit des Kontrollumfelds
                                                                                                                                                                                                                                                                                                                                                       Kontrolldurchführung
                                                                                                                                                                                                                              Validierung von Modellen

                                                                                                                                                                                                                                                                                                          Überwachung des Risikomanagements
                                                                                                                                                                                                                                                                                                                  der ersten Verteidigungslinie
                                                  Entwicklung und Definition von
                                                              Risikoindikatoren

                                                                                                                                                                                Beratung der ersten Verteidigungslinie
                                                                                                                                                                                                     bei Risikofragen

                                                                                                                                                                                                                                                                                                                                                                                                                                                               Überprüfung der Ordnungsmässigkeit
                                                                                                                                                                                                                                                                                                                                                                                                                                                                      aller Aktivitäten und Prozesse
                                                                                         Berichterstattung über die Risikolage
             Entwicklung und Überwachung des
        Risikorahmenwerks sowie der Leitlinien

  RISIKOMANAGEMENT  COMPLIANCE  INTERNE REVISION EXTERNE DIENSTLEISTER

Bei den Lebens- und Sachversicherern ist der Bereich                                                                                                                                                                                                                                                 Rund 37 % der befragten Unternehmen gaben an, dass
Compliance verglichen mit Kranken- und Rückversiche­                                                                                                                                                                                                                                                 sie neben den genannten Kontrollfunktionen noch weitere
rungen stärker in die verschiedenen Aufgaben einge­bun­­                                                                                                                                                                                                                                             Stellen, welche Risiko- und Kontrolltätigkeiten ausüben,
den (Abbildungen 16 und 20). Hier zeigt sich, dass es ins-                                                                                                                                                                                                                                           umgesetzt haben. Hier wurden unter anderem Controlling­­­­-
besondere zwischen Risikomanagement und Compliance                                                                                                                                                                                                                                                   funktionen, IT-Funktionen, Datenschutz­beauf­tragte und
zu einer Überschneidung der Aufgaben­­berei­che kommt.                                                                                                                                                                                                                                               Governance Einheiten genannt. Ebenfalls genannt wurden
Externe Dienstleister werden nur in sehr geringem Umfang                                                                                                                                                                                                                                             in diesem Zusammenhang Personaleinheiten.
mit den abgefragten Aufgaben betraut.

24 I MAZARS & ZHAW
Abbildung 21: Wichtigkeit der Aspekte zur Einhaltung der Unabhängigkeit der Kontrollfunktionen (n=35)

            Direktes Reporting an den Verwaltungsrat      3%      23 %                                 74 %
                                    (mind. 1x jährlich)

        Sicherstellung des Zugangs zu Ressourcen und      3 % 3 % 17 %                                 77 %
                                        Informationen

                 Direkter Zugang zum Verwaltungsrat       3%3%           31 %                                 63 %
             (bspw. Beisitz, Termin einberufen können)

                Trennung der Verantwortlichkeiten auf
  Geschäftsleitungsebene in den Bereichen Accounting,     6% 6%                 40 %                                 49 %
   Asset-Management sowie IT von Risikomanagement
                                      und Compliance

Unabhängigkeit des variablen Gehalts vom Ergebnis des     3% 9%          14 %              40 %                             34 %
                 zu überwachenden Geschäftsbereichs

                                                          0               20             40              60              80           100

                               WEISS NICHT / NICHT BEURTEILBAR  UNWICHTIG  EHER UNWICHTIG  WEDER NOCH  EHER WICHTIG  SEHR WICHTIG

    In den per­sönlichen Interviews wurde deutlich, dass                         Mehrheit als wichtig eingestuft. Des Weiteren wurde die
    die Defini­tion und Umsetzung der Unabhängigkeit der                         Möglichkeit des direkten Zugangs zu Entscheidungs-
    Kontrollfunk­tio­nen Anlass zu Fragen und Diskussion gibt.                   trägern auch ausserhalb des Verwal­tungs­rats genannt.
    Nicht hinterfragt wird die Wichtigkeit der Thematik, wie                     Eine Auswertung der Ergebnisse nach Geschäfts­feld oder
    auch die Online Befragung bestätigt (Abbildung 21).                          Aufsichtskatego­rie brachte nur minimal abweichende
    Unklar ist, welche sich als beste Umsetzungspraxis eta-                      Ergebnisse.
    blieren soll. Alle abgefragten Aspekte wurden von der

                                                                                                                     MAZARS & ZHAW I 25
STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN

Abbildung 22: Anteil Vollzeitäquivalente in den jeweiligen Funktionen nach Aufsichtskategorie (n=5, 17, 13)

                        KATEGORIE 2                                       KATEGORIE 3                                     KATEGORIEN 4 & 5
                            40 %               20 % 20 %          20 %         38 %            19 % 13 % 25 % 6 %                         70 %                  20 % 10 %
     Interne Revision

      IT-Sicherheit /       20 %               60 %               20 %                  64 %             24 % 6 % 6 %                     77 %                   15 % 8 %
       IT-Assurance

                            25 %                      75 %                    29 %           29 %           41 %                                 85 %                15 %
         Compliance

        Quantitatives         40 %                      60 %              13 %          44 %             31 % 6 % 6 %          38 %                 38 %         15 % 8 %
  Risikomanagement
        und Aktuariat

         Qualitatives       20 %                 80 %                       19 %             50 %            31 %                         69 %                   31 %
  Risikomanagement
und interne Kontrolle

                        0          20     40      60         80     100 0          20       40      60      80      100   0          20      40         60      80     100

 0-1  2-3  4-5  6-10  MEHR ALS 10

Abbildung 23: Anteil Vollzeitäquivalente in den jeweiligen Funktionen nach Geschäftsfeld (n=10, 14, 11)

                        KRANKENVERSICHERER                                RÜCKVERSICHERER                                 LEBENS- / SACHVERSICHERER
                            22 % 11 % 32 %               44 %                               82 %                 18 %         20 %        20 % 20 %          20 % 20 %
     Interne Revision

      IT-Sicherheit /              50 %               40 %         10 %                     93 %                   7%          27 %        18 %         36 %     9 %9 %
       IT-Assurance

                             30 %         20 %           50 %                               71 %             29 %              30 %        10 % 20 % 10 %        30 %
         Compliance

        Quantitatives         50 %                       50 %                      46 %             38 %         15 %         9%     36 %          9%         45 %
  Risikomanagement
        und Aktuariat

         Qualitatives       20 %                 80 %                                54 %           23 %      23 %             27 %        18 % 18 %            36 %
  Risikomanagement
und interne Kontrolle

                        0          20     40      60         80     100 0          20       40      60      80      100   0          20      40         60      80     100

 0-1  2-3  4-5  6-10  MEHR ALS 10

Gefragt nach den Vollzeitäquivalenten in den jeweiligen                                     im Bereich Compliance aufweisen und am meisten
Funktionen ergab sich kein einheitliches Bild. Die Ab­­                                     Mitarbeitende im Bereich quantitatives Risiko­­mana­-
bil­­dungen 22 und 23 veranschaulichen die jeweiligen                                       ­ge­ment und Aktuariat. Grosse Versicherer haben in
Angaben. In dieser Frage wurde auch nach Mitarbei­ten­den                                    diesem Kontrollbereich zusammen mit Complian­ce
im Bereich IT-Sicherheit und IT-Assurance gefragt, die                                       am meisten Mitarbeitende beschäftigt.
im Vergleich aber einen geringen Anteil einneh­men. Bei                                      Bei Untersuchung der einzelnen Geschäftsfelder
Analyse nach Aufsichtskategorie zeigt sich, dass kleinere                                    konnten in Abhängigkeit von der Mitarbeiterzahl
Versicherer tendenziell am wenigsten Mit­ar­bei­­­ten­de                                     keine Auffälligkeiten festgestellt werden.

26 I MAZARS & ZHAW
Sie können auch lesen