STUDIE 2019 EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
STUDIE 2019 EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN
STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN 2 I MAZARS & ZHAW
STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN
VORWORT
Das Modell der drei Verteidigungslinien (Three-Lines-of-Defense) ist bei vielen Steuerungsansätzen in der Versicherungsindustrie
ein integraler Bestandteil, der bei zahlreichen Unternehmen im Grundsatz implementiert wurde und sich so seit Jahren bewährt hat.
Aus einer regulatorischen Sicht verweist die FINMA im Erläuterungsbericht zum Rundschreiben 2017/2 «Corporate Governance –
Versicherer» explizit auf das Modell der drei Verteidigungslinien als Ansatz zur Definition der Rollen und Verantwortlichkeiten und
der Einbettung der Risiko- und Kontrolleinheiten in ein ganzheitliches Governance-System (FINMA, 2016).
Eine Untersuchung der konkreten Ausgestaltung der drei Für die Studie wurden 12 Experten in persönlichen
Verteidigungslinien, deren Etablierung innerhalb der Interviews und 35 Versicherungsunternehmen mittels
Versicherungsunternehmen und die dabei gemachten standardisiertem Fragebogen zum Nutzen des Modells
Erfahrungen mit dem Modell, fehlt allerdings in der der drei Verteidigungslinien, dessen Implementierung
Schweiz bislang. und den bisherigen Erfahrungenbefragt. Wir danken allen
Hier setzt die vorliegende Studie an und untersucht das Beteiligten für ihre Mitwirkung und sind überzeugt, dass
Modell der drei Verteidigungslinien bei Schweizer Versi- die vorliegenden Aussagen und Vergleiche aufschluss
cherungsunternehmen. Insbesondere wurden folgende reiche Einsichten für die Weiterentwicklung des Modells
Aspekte untersucht: der drei Verteidigungslinien bieten.
—— Nutzen des Modells Wir wünschen Ihnen viel Spass und interessante
Erkenntnisse bei der Lektüre.
—— Voraussetzungen und Umsetzungsstand
Die Autoren
—— Aufgabenspektrum und Umfang der
Kontrollbereiche
—— Herausforderungen der Umsetzung
—— Aktuelle Trends
Die vorliegende Studie schlüsselt die Resultate sowohl
nach Aufsichtskategorie, als auch nach den Segmenten
Lebens- und Sachversicherer, Rückversicherer und
Krankenversicherer, auf. Die Ergebnisse der Studie liefern
wertvolle Erkenntnisse zur operativen Umsetzung des Mo-
dells der drei Verteidigungslinien und zu seiner Einbettung
sowie Anwendung in Versicherungsunternehmen.
MAZARS & ZHAW I 3
STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN MANAGEMENT SUMMARY Die aus den Expertengesprächen und der standardisierten Befragung gewonnenen Erkenntnisse zeigen eine hohe Zustimmung zum grundsätzlichen Nutzen des Modells sowie ein einheitliches Bild zu aktuellen Trends. Das Modell leistet einen wichtigen Beitrag zur Förderung der Bedeutung und ganzheitlichen Umsetzung der Risikomanagementziele. Während ein weitgehender Konsens bezüglich der groben Struktur der drei Linien besteht, zeigen die Resultate aufgeschlüsselt nach Geschäftssegmenten und Aufsichtskategorien wesentliche Unterschiede in der Einschätzung der Herausforderungen und in der operativen Umsetzung. Die grössten Herausforderungen werden im konsistenten Generell wenden grosse Unternehmen mehr personelle Verständnis von Wesentlichkeit und Risiko, unterschiedli Ressourcen als kleinere Versicherungsunternehmen auf. chen Bewertungsmethoden oder Grundlagen sowie Doppel- Die hohe Zustimmung zu mehreren Trends zeigt, dass die spurigkeiten und Redundanzen gesehen. Für Lebens- und operative Umsetzung des Modells Schweizer Versicherer Sachversicherer ist die Nutzung verschiedener (IT-) Syste- beschäftigt. Viel Wert legen die Befragten auf die Reduk- me sehr herausfordernd. Demgegenüber beschäftigt Rück tion der Komplexität und einen verstärkten Fokus auf versicherer eher, Klarheit bezüglich der Verantwortung Wesentlichkeit. Unsicherheit besteht in der Definition und nicht-finanzieller Risiken zu schaffen. Als wichtigste Umsetzung der Unabhängigkeit. Die bessere Integration Voraussetzung für eine erfolgreiche Umsetzung des der Berichterstattung und der Kontrolltätigkeiten ist vor Modells wird, wie auch in der Literatur der «Tone at the t op» allem ein Thema bei grösseren Rück-, Lebens- und gesehen, gefolgt vom konsistenten Verständnis von Wesent- Sachversicherern. lichkeit und Risiko, einheitlichen Bewertungskriterien Die Erkenntnisse lassen erwarten, dass sich das Aufgaben- sowie dem «Tone at the middle». spektrum sowie die organisatorische Einbettung der Wie erwartet nimmt die Risikomanagement-Funktion Kontrollfunktionen weiter wandeln wird. Es lassen sich den Grossteil der Risiko- u nd Kontrolltätigkeiten wahr. Die vier Handlungsfelder ableiten. Versicherer sollten die meisten Überschneidungen ergeben sich zwischen Risiko- Rollen, Kompetenzen und Verantwortlichkeiten der Kontroll management und Compliance. Deutliche Unterschiede im funktionen bewusster und klarer definieren, sowie die Aufgabenspektrum von Risikomanagement, Compliance, Einhaltung der Unabhängigkeit und gleichzeitig die Effek Interner Revision und externen Dienstleistern zeigen sich tivität der Zusammenarbeit regelmässig hinterfragen. im Vergleich der Geschäftsfelder und Aufsichtskategorien. Dabei gilt es, der Einfachheit und Verständlichkeit des Bei grossen Unternehmen fällt das im Vergleich breite Auf Modells als grösstem Nutzen, sowie der Rolle der Risiko- gabenspektrum der Compliance auf. Bei der Differenzierung eigner als wichtigste Verteidigungslinie, Sorge zu tragen. nach Geschäftsfeld wird deutlich, dass bei den Krankenver- Als Ausgangspunkt der Überlegungen bietet sich eine sicherern einzelne Aufgaben ausschliesslich vom Risiko- bereichsübergreifende Diskussion und Definition der management wahrgenommen werden und die Interne wesentlichen Risiken und der verwendeten Methoden an. Revision ein im Vergleich breiteres Aufgabenspektrum wahr- Als Leitlinie gilt das übergeordnete Ziel einer risikoorien nimmt. Kleine undmittelgrosse Rückversicherer gaben eher tierten Unternehmensführung, die in einem dynamischen an, Kontrollaufgaben an externe Dienstleister auszulagern. Marktumfeld proaktiv und nachhaltig zum Erfolg des Unter- Bezüglich Ressourcen hat sich gezeigt, dass sich die Vertei- nehmens beiträgt und sich nicht in der Rolle der reaktiven lung auf die einzelnen Funktionen vor allem im Bereich Kontrolle begrenzt. Compliance unterscheidet. 4 I MAZARS & ZHAW
MAZARS & ZHAW I 5
STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN 6 I MAZARS & ZHAW
INHALTSVERZEICHNIS
Vorwort 3
Management Summary 4
Inhaltsverzeichnis 7
Hintergrund 8
Das Modell der drei Verteidigungslinien 8
Kritik am Modell 9
Schweizer Aufsichtspraxis 10
Das Modell in der Berichterstattung der
Schweizer Versicherer 10
Design und Ergebnisse der Studie 12
Nutzen des Modells 12
Umsetzungsstand und Voraussetzungen 14
Aufgabenspektrum der Kontrollfunktionen 20
Aktuelle Trends 27
Ausblick und Handlungsfelder 30
Interviewpartner 31
Verweise 32
Autoren 33
MAZARS & ZHAW I 7STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN
HINTERGRUND
DAS MODELL DER DREI VERTEIDIGUNGSLINIEN
Lehren aus der Finanzkrise und steigende Ansprüche In diesem Kapitel wird die generelle Struktur des Modells
an die Unternehmenssteuerung haben qualitative der drei Verteidigungslinien bei Versicherern kurz skizziert.
und organisatorische Aspekte des Risikomanagements Das Modell bildet ab, welche Rolle die Kontrollfunktionen
von Finanzinstituten vermehrt in den Fokus gerückt. Risikomanagement, Compliance und Interne Revision im
Die Etablierung einer adäquaten Organisationsstruk Governance-System einnehmen. Unter Solvency II wird der
tur sowie der Kontrollfunktionen Risikomanagement, Begriff Schlüsselfunktionen verwendet, welcher auch die
Compliance und Interne Revision standen dabei Funktion des verantwortlichen Aktuars umfasst. Mit Funktion
im Mittelpunkt. Damit ein Governance-System die ist dabei nicht eine Person oder Abteilung gemeint, sondern
gewünschte Funktionsfähigkeit erreicht, müssen die Kapazität des Versicherers, die entsprechenden Aufgaben
Finanzinstitute sicherstellen, dass sich die Kontroll- wahrzunehmen. Wichtig ist, dass die verschiedenen Aufgaben
funktionen laufend mit Informationen austauschen der Kontrollfunktionen objektiv und unabhängig erfüllt wer-
und eng zusammenarbeiten (Zinnöcker, 2017). Das den können (FINMA RS 2017/02). Hierzu werden drei «Ver-
«Modell der drei Verteidigungslinien» erlangte durch teidigungslinien» gebildet (Abbildung 1). Die klare Aufgaben-
die Publikation des Institute of Internal Auditors zuteilung soll sicherstellen, dass alle Risiken effektiv und
(IIA, 2013)1 weitgehende Anerkennung und hat sich effizient identifiziert und gehandhabt werden. Verwaltungs-
international als Konzept für die organisatorische rat und Geschäftsleitung sind die primären Stakeholder
Einbettung der Kontrollfunktionen, sowie die Interak- dieses ursprünglich intern ausgerichteten Modells. Die erste
tion der verschiedenen operativen Einheiten, etabliert. Verteidigungslinie bildet die operativen Einheiten ab.
Abbildung 1: Das Modell der drei Verteidigungslinien (eigene Darstellung in Anlehnung an IIA, 2013)
VERWALTUNGSRAT
Risikopolitik und Risikostrategie inklusive Risikoappetit und -toleranz
Direkter Zugang
GESCHÄFTSLEITUNG
Umsetzung der Risikostrategie
Berichtet über Risikoangelegenheiten
ERSTE VERTEIDIGUNGSLINIE ZWEITE VERTEIDIGUNGSLINIE DRITTE VERTEIDIGUNGSLINIE
Risikoeigner, operative Einheiten Risikomanagement und -prozesse Interne Revision
(Business) (Standards) (Assurance)
AUFGABEN AUFGABEN AUFGABEN
Laufende Identifikation, Beurteilung Etablierung des ganzheitlichen Regelmässige, unabhängige
und Steuerung von (neuen) Risiken Risiko- und Kontrollrahmenwerks Überwachung und Beurteilung
im Tagesgeschäft Erfassung und Beurteilung der der Angemessenheit und Wirksamkeit
Durchführung von Kontrollaktivitäten Gesamtrisikosituation und von der Risikomanagement-, Governance-
zur Einhaltung des Risikoappetits aufkommenden Risiken und Kontrollprozesse sowie des
Zusammenspiels der Verteidigungslinien
Identifikation und Eskalation von Überwachung der Einhaltung
Prozess- und Kontrollschwächen von rechtlichen Regelungen
Beitrag zur Weiterentwicklung von Überwachung der Angemessenheit
Richtlinien und Verfahren von Prozessen und Methoden
Koordination der Berichterstattung
über die Gesamtrisikolage
1
Eine aktualisierte Publikation des IIA wird für 2020 erwartet.
8 I MAZARS & ZHAWSie zeichnen die Risiken gemäss Risikoappetit und verwal- —— Die vorgegebenen Strukturen sind zu rigide und
ten diese im Rahmen der Geschäftstätigkeit auf operativer bergen die Gefahr, Silos zu kreieren (vgl. IIA, 2019).
Ebene. Hierzu gehört die Identifikation und Überwachung Das Modell nimmt zu wenig Rücksicht darauf, dass
der Risiken und die Implementierung von Steuerungsmass- unterschiedliche Risiken, insbesondere nicht-finan-
nahmen. Der ersten Linie kommt daher eine sehr wichtige, zielle Risiken, unterschiedliche Ansätze erfordern
duale Rolle zu, indem sie Risiken eingeht und gleichzeitig (vgl. Decaux & Sarens, 2015).
laufend beurteilt und überwacht. —— Das Modell vermittelt eine Scheinsicherheit, weil
Der verantwortliche Aktuar unterstützt die Geschäfts so viele Funktionen für Risikomanagement zuständig
leitung durch seine Beurteilung technischer Aspekte; sind, dass sich letztlich niemand wirklich verant
er steht damit, wie die Geschäftsleitung als Ganzes, wortlich fühlt (vgl. Davies & Zhivitskaya, 2018).
ausserhalb der drei Verteidigungslinien. Der verantwort —— Dem Umstand, dass die erste Verteidigungslinie
liche Aktuar erstellt jährlich einen Bericht zuhanden der die wichtigste Rolle in der Umsetzung des Risiko-
Geschäftsleitung, in dem neben der Beurteilung auch appetits einnimmt, muss mehr Nachdruck verliehen
Massnahmen zur Behebung erkannter Unzulänglichkeiten, werden (Davies & Zhivitskaya, 2018).
für die durch ihn abzudeckenden Themen, einfliessen.
—— Klärungsbedarf hat des Weiteren der Interessenskon
Die Funktionen Risikomanagement sowie Compliance flikt der ersten Linie, gleichzeitig Rendite- und Risiko-
bilden die zweite Verteidigungslinie. Sie verantwortet ziele umsetzen zu müssen (Arndorfer & Minto, 2015).
die Etablierung des Risikomanagement-Rahmenwerks,
—— Unklar, respektive zu definieren, ist das Aufgabenspek
der Prozesse und des Kontrollsystems. Sie koordiniert
trum der zweiten Linie, die einerseits unabhängig,
die regelmässige und ad-hoc Risikoberichterstattung
aber dennoch in enger Zusammenarbeit mit der ers-
an das Management und oft auch direkt an den Verwal
ten Linie operieren soll (Arndorfer & Minto, 2015; COSO
tungsrat. Sie überwacht die Organisation und Funktions-
& IIA, 2015; Davies & Zhivitskaya, 2018; Sweeting, 2017).
fähigkeit der ersten Verteidigungslinie und überprüft
—— Sind Erfahrung, Wissen und interne Stellung von Mit-
die Einhaltung von Gesetzen, Weisungen und Regeln.
arbeitenden in der ersten Linie besser als in der zwei-
Die dritte Verteidigungslinie umfasst die interne Revision,
ten Linie, kann dies dazu führen, dass die zweite Linie
welche die Effektivität und Effizienz der Kontrollmass
nur behandelt, was sich die erste Linie entscheidet zu
nahmen und des Risikomanagementprozesses sowie die
zeigen oder zu diskutieren (Arndorfer & Minto, 2015;
Zusammenarbeit der Verteidigungslinien beurteilt und als
Davies & Zhivitskaya, 2018).
unabhängige Instanz direkt dem Verwaltungsrat berichtet.
—— Externe Prüfer und Regulatoren sollen als vierte
Verteidigungslinie im Modell hinzugefügt werden
KRITIK AM MODELL (Arndorfer & Minto, 2015), um deren ergänzende
Während ein weitgehender Konsens bezüglich der groben Rolle hervorzuheben.
Struktur der drei Linien besteht, gibt es doch wesentliche
Damit verbundene Fragestellungen beschäftigen auch die
Unterschiede in der operativen Umsetzung (Davies &
Schweizer Versicherungsindustrie, wo sich das Modell der
Zhivitskaya, 2018). Aktuelle Kritik und Diskussionen in
drei Verteidigungslinien seit vielen Jahren etabliert hat.
Wissenschaft und Praxis im Finanzbereich umfassen unter
anderem folgende Themenbereiche:
—— Das Modell ist zu restriktiv und limitiert, es werden
eher reaktive «Verteidigungsaktivitäten» als ein
proaktiver Ansatz gefördert (vgl. The Institute
of Internal Auditors, 2019).
MAZARS & ZHAW I 9STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN
SCHWEIZER AUFSICHTSPRAXIS DAS MODELL IN DER BERICHTERSTATTUNG
In den sogenannten Vor-Ort-Kontrollen, welche durch die DER SCHWEIZER VERSICHERER
Aufsicht durchgeführt werden, werden häufig die allgemei Um einen Eindruck zu gewinnen, inwieweit das Modell
nen Corporate Governance Prinizipien des FINMA-Rund der drei Verteidigungslinien in die Berichterstattung
schreibens 17/2 auf deren Angemessenheit untersucht von Schweizer Versicherungsunternehmen bereits
und beurteilt. Dabei wird insbesondere untersucht, ob die Einzug gehalten hat, wurden 126 Berichte zur Finanz-
Kontrollfunktionen unabhängig, deren Aufgaben, Kompeten- lage (Geschäftsjahr 2018) analysiert.2 Innerhalb der
zen und Verantwortungen und die Risikomanagement- und analysierten Berichte haben 51 Versicherungsunter
Compliance-Prozesse ausreichend und klar definiert sind nehmen explizit auf das Modell der drei Verteidigungs-
und kontinuierlich umgesetzt werden. Des Weiteren wird die linien verwiesen.
Ausgestaltung des Aufgabenspektrums der zweiten Linie Die Auswertung zeigt, dass insgesamt 40.5 % der unter
hinsichtlich Beurteilung der Angemessenheit und Wirksam- suchten Unternehmen im Bericht zur Finanzlage Bezug
keit des Risikomanagementsystems und internes Kontroll- zum Modell der drei Verteidigungslinien nehmen. 10.3 %
system oft diskutiert. beschreiben die Umsetzung des Modells, was in der Ab-
bildung 2 als ausführliche Beschreibung gewertet wurde.
Während die Berichterstattung kein Indiz für die Wichtigkeit
oder den Umsetzungsstand im Unternehmen darstellt,
so ist sie doch ein Hinweis auf die Relevanz, welche der
Kommunikation des Modells der drei Verteidigungslinien
als Ansatz zur ganzheitlichen Umsetzung des Governance-
Systems zugesprochen wird. Die Verteilung ist weitgehend
unabhängig vom Versicherungssegment.
Abbildung 2: Erwähnung des Modells der drei
Verteidigungslinien im Bericht über die Finanzlage
(ohne Zweigniederlassungen, n=126)
80 Lebens- / Sach-
versicherung
70
60
40
50
40
Kranken- Rück-
versicherung versicherung
30
20 17 20
18
10
10 8
0 2 1 10
KEINE EXPLIZITE NENNUNG NENNUNG DES MODELLS
NENNUNG UND AUSFÜHRLICHE BESCHREIBUNG DES MODELLS
2
Von 176 analysierten Berichten stammten 50 Berichte von Niederlassungen ausländischer Gesellschaften, welche bei der weiteren Analyse keine
Berücksichtigung fanden.
10 I MAZARS & ZHAWMAZARS & ZHAW I 11
STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN
DESIGN UND ERGEBNISSE DER STUDIE
Die Methodik der vorliegenden Studie basiert auf einer Kombination von quantitativer und qualitativer Befragung (Abbildung 3).
Die quantitative Befragung mittels Online-Survey fand zwischen dem 22. August und dem 30. September 2019 statt. Gleichzeitig
haben die Autoren mit 12 Vertretern der zweiten und dritten Verteidigungslinie verschiedener Versicherungsgesellschaften ein
Expertengespräch geführt (vgl. Interviewpartner S.31). Aussagen aus diesen Gesprächen finden sich als Zitate hervorgehoben und
im Text integriert. Die Aussagen der Interviewpartner wurden anonymisiert und möglichst wortgetreu transkribiert. Wir bedanken
uns bei allen, die mit ihrer Teilnahme an der Befragung und an den Gesprächen zu dieser Studie beigetragen haben.
Insgesamt haben 35 Versicherungsunternehmen an der Unter Berücksichtigung von ausgeübten Doppelfunktionen
Online Befragung teilgenommen, hauptsächlich Verant verschiebt sich die Gewichtung in Richtung qualitatives
wortliche der zweiten Verteidigungslinie (Abbildung 6). Risikomanagement / Interne Kontrolle und Legal / Compliance
Der Fragebogen stand in Deutsch, Französisch und Englisch (Abbildung 6). Andere bezeichnen überwiegend Funktionen
zur Verfügung. Die befragten Untenehmen lassen sich im Management (CEO), welche sich keiner der Funktionen
anhand ihrer Geschäftstätigkeit in Lebens- und Sachver- zuordnen lassen.
sicherer, Rückversicherer und Krankenversicherer katego-
risieren (Abbildung 4). «Das Modell ist nützlich,
Prozentangaben beziehen sich immer auf die Gesamtzahl da es bekannt ist,
man kann sich darauf beziehen.»
der Antworten, die bei der jeweiligen Frage abgegeben
wurden. Wurden die Antworten zu mehreren Fragen zu
einem Indikator aggregiert, wurde dazu das arithmetische
Mittel benutzt. Eine Abweichung der addierten Antworten
von 100 % resultiert durch eine Rundung der Antworten NUTZEN DES MODELLS
auf ganze Zahlen.
Den grössten Nutzen des Modells der drei Verteidigungs
Die Studienteilnehmer lassen sich den FINMA-Aufsichts linien sehen die befragten Unternehmen in der Verdeut
kategorien 2 bis 5 zuordnen (Abbildung 5). Die Kategorie lichung der Wichtigkeit der Risiko- und Kontrollfunktionen
dient im Rahmen dieser Studie als Indikator für die Unter für das Unternehmen und in einer ganzheitlicheren Um-
nehmensgrösse, wobei Kategorie 2 grossen und Kategorie 5 setzung von Risikomanagement (Abbildung 7). Dies wird
kleineren Unternehmen entspricht. Im Rahmen dieser von jeweils 83 % der befragten Unternehmen als (sehr)
Studie wurden die Kategorien 4 und 5 zusammengefasst wichtig beurteilt. Den geringsten Nutzen messen die
und gemeinsam ausgewertet, da nur wenige Unternehm Unternehmen der Organisation der Berichterstattung
en der Kategorie 5 teilgenommen haben. an verschiedene Adressaten bei. Auf Nachfrage gaben
Die insgesamt 35 befragten Unternehmensvertreter lassen die Unternehmen an, dass die jeweiligen Berichte ohne
sich primär den Funktionen qualitatives Risikomanagement / hin erstellt werden und dabei grösstenteils auf einen
Interne Kontrolle und Finanzen / Rechnungswesen zuordnen. gemeinsamen Informationspool zurückgegriffen wird.
Abbildung 3: Methodisches Vorgehen
DESK QUALITATIVE QUANTITATIVE
RESEARCH BEFRAGUNG BEFRAGUNG STUDIE
12 I MAZARS & ZHAWAbbildung 4: Welches Geschäft Abbildung 5: Welcher Aufsichtskategorie Abbildung 6: In welcher Funktion sind Sie für
betreibt Ihr Unternehmen? (n=35) ist Ihr Unternehmen zugeteilt? (n=35) Ihr Unternehmen tätig? (Mehrfachauswahl,
n=35)
40 % 14 %
37 % 24 % 31 %
7%
31 % 49 % 5%
29 %
17 %
17 %
KRANKENVERSICHERUNG KATEGORIE 2 AKTUARIAT / QUANTITATIVES RISIKOMANAGEMENT
RÜCKVERSICHERUNG KATEGORIE 3 ANDERE
LEBENS- / SACHVERSICHERUNG KATEGORIEN 4 & 5 QUALITATIVES RISIKOMANAGEMENT / INTERNE KONTROLLE
LEGAL / COMPLIANCE
FINANZEN / RECHNUNGSWESEN
INTERNE REVISION
Abbildung 7: Der grösste Nutzen des Modells der drei Verteidigungslinien wird gesehen in … (n=35)
… einer ganzheitlichen Umsetzung von 3 % 3 % 11 % 34 % 49 %
Risikomanagement
… der Verdeutlichung der Wichtigkeit der Risiko- 11 % 6% 43 % 40 %
und Kontrollfunktionen für das Unternehmen
… der Förderung der Einhaltung von Gesetz, 9% 11 % 31 % 49 %
Weisungen und Regeln
… der Koordination der Zuständigkeiten und 3 % 11 % 14 % 46 % 26 %
Verantwortlichkeiten
3% 9% 20 % 46 % 23 %
… der Qualitätssicherung
3 % 14 % 17 % 34 % 31 %
… der Einfachheit und Verständlichkeit des Konzepts
3%3% 9% 23 % 37 % 26 %
… einer gemeinsamen Sprache
… der Institutionalisierung einer Balance von 6% 3% 17 % 17 % 26 % 31 %
Risiko- / Kontrolle- gegenüber Ertrag- / Rendite-
Tätigkeiten
… der Organisation der Berichterstattung an 3 % 8.5 % 20 % 23 % 37 % 8.5 %
verschiedene Adressaten
0 20 40 60 80 100
WEISS NICHT / NICHT BEURTEILBAR STIMME NICHT ZU STIMME EHER NICHT ZU WEDER NOCH STIMME EHER ZU STIMME ZU
MAZARS & ZHAW I 13STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN
Abbildung 8: Der grösste Nutzen nach Geschäftsfeld (nach Mittelwert) wird gesehen in ... (n=35)
Stimme
zu
Weder
noch
Stimme
nicht zu
… der Einfachheit und
Verständlichkeit des Konzepts
… der Koordination der Zuständigkeiten
und Verantwortlichkeiten
… der Organisation der Berichterstattung
an verschiedene Adressaten
… der Verdeutlichung der Wichtigkeit
der Risiko- und Kontrollfunktionen für
das Unternehmen
… einer gemeinsamen Sprache
… der Förderung der Einhaltung von
Gesetz, Weisungen und Regeln
… der Qualitätssicherung
… einer ganzheitlichen Umsetzung
von Risikomanagement
... der Institutionalisierung einer Balance von
Risiko- / Kontrolle- gegenüber Ertrag- /
Rendite-Tätigkeiten
KRANKENVERSICHERER RÜCKVERSICHERER LEBENS- / SACHVERSICHERER
UMSETZUNGSSTAND UND VORAUSSETZUNGEN
Aufgeteilt nach Geschäftsbereichen ergeben sich gering Das Modell der drei Verteidigungslinien ist seit vielen
fügig unterschiedliche Beurteilungen (Abbildung 8). Jahren bei den Unternehmen etabliert. Dies bestätigten
Lediglich der Einfachheit und Verständlichkeit des Konzepts über 94 % der befragten Unternehmen (Abbildung 10).
messen die Rückversicherer nicht denselben Nutzen Auch die Interviews bestätigen, dass die Unternehmen
bei wie Kranken-, Lebens- und Sachversicherer. das Modell als Teil des unternehmensweiten Risikoma
Eine deutlich differenziertere Beurteilung ergibt die Analyse nagements implementiert haben. Allerdings gibt das
der Ergebnisse nach Unternehmensgrösse (Abbildung 9). Modell lediglich die grobe Struktur vor, daher bestehen
Kleinere Unternehmen messen der Einfachheit und Verständ- doch Unterschiede in der konkreten Umsetzung, insbe
lichkeit des Konzepts eine geringere Bedeutung zu, wohin sondere in der Ausgestaltung des Aufgabespektrums
gegen grosse Unternehmen hier einen höheren Nutzen sehen. der zweiten Linie sowie der Beurteilung der Zusammen-
arbeit der drei Linien. Dies zeigt sich in der Antwort, dass
die Zusammenarbeit der drei Verteidigungslinien noch
nicht bei allen Unternehmen regelmässig beurteilt wird.
«Eine Reife kann angenommen werden,
wenn die Risikosicht explizit eingefordert wird
und kein lästiges Übel mehr darstellt.»
«Ob das Modell der drei Verteidigungs-
linien wirklich gelebt wird, ist auch
eine Frage der Kultur.»
14 I MAZARS & ZHAWAbbildung 9: Der grösste Nutzen nach Aufsichtskategorie (nach Mittelwert) wird gesehen in ... (n=35)
Stimme
zu
Weder
noch
Stimme
nicht zu
… der Einfachheit und
Verständlichkeit des Konzepts
… der Koordination der Zuständigkeiten
und Verantwortlichkeiten
… der Organisation der Berichterstattung
an verschiedene Adressaten
… der Verdeutlichung der Wichtigkeit
der Risiko- und Kontrollfunktionen für
das Unternehmen
… einer gemeinsamen Sprache
… der Förderung der Einhaltung von
Gesetz, Weisungen und Regeln
… der Qualitätssicherung
… einer ganzheitlichen Umsetzung
von Risikomanagement
... der Institutionalisierung einer Balance von
Risiko- / Kontrolle- gegenüber Ertrag- /
Rendite-Tätigkeiten
KATEGORIE 2 KATEGORIE 3 KATEGORIEN 4 & 5
Abbildung 10: Wie beurteilen Sie den Grad der Umsetzung des Modells der drei Verteidigungslinien innerhalb Ihres
Unternehmens (n=35)?
Wir haben das Modell seit vielen Jahren 6% 31 % 63 %
implementiert
Fragen der Umsetzung beschäftigen 17 % 3% 40 % 40 %
uns regelmässig
Das Modell ist im Bewusstsein aller drei Linien 14 % 6% 49 % 31 %
verankert und wird gelebt
Wir haben das Modell vollständig in Funktions- 17 % 6% 43 % 34 %
beschreibungen / Verantwortlichkeiten formalisiert
Nebst einzelnen Kontrollen und Prozessen wird bei 6% 14 % 20 % 34 % 26 %
uns auch die Wirksamkeit der Zusammenarbeit
der drei Verteidigungslinien regelmässig beurteilt
0 20 40 60 80 100
WEISS NICHT / NICHT BEURTEILBAR STIMME NICHT ZU STIMME EHER NICHT ZU WEDER NOCH STIMME EHER ZU STIMME ZU
MAZARS & ZHAW I 15STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN
Abbildung 11: Welches sind die wichtigsten Voraussetzungen für eine erfolgreiche Umsetzung (n=35)?
Tone at the top (Vorbild und Überzeugtheit der 3% 17 % 80 %
Geschäftsleitung
Konsistentes Verständnis von Wesentlichkeit und 3%6% 46 % 46 %
Risiko und einheitliche Bewertungskriterien
Tone at the middle (Vorbild und Überzeugtheit 3% 9% 31 % 57 %
des mittleren Managements)
Maturität / Reifegrad des unternehmensweiten 9% 6% 43 % 43 %
Risikomanagementsystems
Entwicklung eines gemeinsamen Vokabulars und 6% 9% 49 % 37 %
einheitlicher Definitionen
Klare und aktuelle Beschreibung von Pflichten und 9% 11 % 23 % 57 %
Aufgaben der verschiedenen Funktionen
Schulungen / Informationsveranstaltungen zu 6% 14 % 40 % 40 %
Governance, Risikomanagement und Kontrolle
Nutzung derselben Methoden über alle Funktionen 3 % 3 % 11 % 14 % 46 % 23 %
und Bereiche hinweg
0 20 40 60 80 100
WEISS NICHT / NICHT BEURTEILBAR UNWICHTIG EHER UNWICHTIG WEDER NOCH EHER WICHTIG SEHR WICHTIG
Als wichtigste Voraussetzung für eine erfolgreiche Umset Die Herausforderungen, welche sich in Bezug zur Imple
zung des Modells sehen die befragten Unternehmen den mentierung des Modells der drei Verteidigungslinien stellen,
Tone at the Top – die Vorbildfunktion und Überzeugtheit werden von den Unternehmen unterschiedlich beurteilt.
der Geschäftsleitung (Abbildung 11). Dies gaben rund 97 % Abbildung 12 gibt einen Überblick über alle befragten Unter-
der Unternehmen an. Auch die weiteren abgefragten nehmen. Als grösste Herausforderung sehen über 77 %
Voraussetzungen werden von 80 % bis 91 % als wichtig der Unternehmen das konsistente Verständnis von Wesent-
bzw. sehr wichtig eingestuft. Als am wenigsten wichtig lichkeit und Risiko sowie unterschiedliche Bewertungsme
wird die Nutzung derselben Methoden über alle Funktionen thoden oder Grundlagen in unterschiedlichen Bereichen /
und Bereiche hinweg beurteilt. Dies sahen nur rund 69 % Risikoarten. Doppelspurigkeiten, Redundanzen und deren
als wichtig bzw. sehr wichtig an. Rück-, Lebens- und Sach- Reduktion sind ein grosses Thema. Ansehen und Autorität
versicherer weisen dem konsistenten Verständnis von der Kontrollfunktionen und die (informelle) Delegation von
Wesentlichkeit und Risiko und einheitlichen Bewertungs- Verantwortung an die Kontrollfunktionen bilden demgegen-
kriterien zudem einen höheren Stellenwert zu als Kranken- über die geringsten Herausforderungen.
versicherer. Ebenso erachten die Krankenversicherer
eine klare und aktuelle Beschreibung von Pflichten und
Aufgaben der verschiedenen Funktionen als wichtiger
wie Rück-, Lebens- und Sachversicherer. Schulungen und
Informationsveranstaltungen zu Governance, Risiko
management und Kontrolle beurteilen Lebens- und Sach
versicherer hingegen wichtiger als Kranken- und
Rückversicherer.
16 I MAZARS & ZHAWAbbildung 12: Herausforderungen in Bezug zur Implementierung des Modells der drei Verteidigungslinien (n=35)
Konsistentes Verständnis von Wesentlichkeit 3% 6% 14 % 31 % 46 %
und Risiko
Unterschiedliche Bewertungsmethoden oder 6% 11 % 6% 54 % 23 %
Grundlagen in unterschiedlichen Bereichen
/ Risikoarten
Doppelspurigkeiten und Redundanzen bezüglich 3%3% 20 % 3% 40 % 31 %
Kontrolltätigkeiten
Silodenken in den verschiedenen 23 % 14 % 26 % 37 %
Verteidigungslinien
Nutzung verschiedener (IT-)Systeme für die 11 % 9% 20 % 37 % 23 %
Dokumentation der Risiko- und Kontroll-Tätigkeiten
und Ergebnisse
Berichterstattung an verschiedene Adressaten zu 6% 6% 17 % 11 % 37 % 23 %
unterschiedlichen Zeitpunkten
Klarheit der Verantwortlichkeiten in Bezug zum 3% 6% 20 % 11 % 37 % 23 %
Risikomanagement nicht-finanzieller Risiken
Interessenskonflikte aufgrund unterschiedlicher 3 % 11 % 23 % 9% 40 % 14 %
Zielsetzungen in den drei Verteidigungslinien
Fachkompetenz / Erfahrung in den 6% 9% 23 % 11 % 26 % 26 %
Kontrollfunktionen
Überprüfung der Wirksamkeit der Zusammenarbeit 9% 3% 23 % 14 % 34 % 17 %
der drei Linien
Informationsaustausch zwischen den 6% 3% 31 % 11 % 31 % 17 %
Verteidigungslinien
14 % 6% 17 % 20 % 14 % 29 %
Parallele Strukturen für Geschäft und Rechtseinheit
3% 9% 29 % 17 % 20 % 23 %
Ansehen und Autorität der Kontrollfunktionen
(Informelle) Delegation von Verantwortung an die 11 % 6% 26 % 17 % 26 % 14 %
Kontrollfunktionen
0 20 40 60 80 100
WEISS NICHT / NICHT BEURTEILBAR STIMME NICHT ZU STIMME EHER NICHT ZU WEDER NOCH STIMME EHER ZU STIMME ZU
«Wir hatten viele Inselgeschichten «Die Absprache und Abstimmung zwischen
und bauten dann separate Tools. den Assurance Funktionen ist eine
Allerdings wirken viele Massnahmen übergreifend, grosse Herausforderung.»
sodass man dadurch viele Redundanzen und
Inkonsistenzen produziert.»
«Aufgrund der unterschiedlichen «Die erste Linie wurde in der Vergangenheit
IT-Systeme hat man auch ein unterschiedliches zu stark durch nicht koordinierte Assurance
Vokabular.» Tätigkeiten belastet.»
MAZARS & ZHAW I 17STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN
Abbildung 13: Herausforderungen in Bezug zur Implementierung des Modells der drei Verteidigungslinien
nach Geschäftsfeld (nach Mittelwert, n=35)
Stimme
zu
Weder
noch
Stimme
nicht zu
Berichterstattung an verschiedene
Adressaten zu unterschiedlichen Zeitpunkten
Silodenken in den verschiedenen
Verteidigungslinien
Nutzung verschiedener (IT-)Systeme
für die Dokumentation der Risiko- und
Kontroll-Tätigkeiten und Ergebnisse
Überprüfung der Wirksamkeit der
Zusammenarbeit der drei Linien
Informationsaustausch zwischen den
Verteidigungslinien
Parallele Strukturen für
Geschäft und Rechtseinheit
Ansehen und Autorität der
Kontrollfunktionen
(Informelle) Delegation von Verantwortung
an die Kontrollfunktionen
Unterschiedliche Bewertungsmethoden
oder Grundlagen in Unterschiedlichen
Bereichen / Risikoarten
Doppelspurigkeiten und Redundanzen
bezüglich Kontrolltätigkeiten
Klarheit der Verantwortlichkeiten in
Bezug zum Risikomanagement
nicht-finanzieller Risiken
Konsistentes Verständnis von
Wesentlichkeit und Risiko
Interessenskonflikte aufgrund
unterschiedlicher Zielsetzungen
in den drei Verteidigungslinien
Fachkompetenz / Erfahrung in den
Kontrollfunktionen
KRANKENVERSICHERER RÜCKVERSICHERER LEBENS- / SACHVERSICHERER
Bei Betrachtung der einzelnen Geschäftsfelder ergeben sich Die Analyse der Herausforderungen nach Aufsichtskategorie
jedoch teilweise deutliche Unterschiede bei der Beurteilung zeigt, dass die (informelle) Delegation von Verantwortung
(Abbildung 13). Insbesondere die Nutzung verschiedener (IT-) an die Kontrollfunktionen am unterschiedlichsten von den
Systeme für die Dokumentation der Risiko- und Kontroll- Versicherern beurteilt wird (Abbildung 14). Versicherer der
Tätigkeiten und Ergebnisse erfährt eine unterschiedliche Kategorie 2 sehen hier keine Herausforderung, wohingegen
Beurteilung von Krankenversicherern und Lebens- / Sach Versicherer der Kategorie 3 diese durchaus wahrnehmen.
versicherern. Abweichend ist auch die Beurteilung der Klar- Auffallend ist auch die unterschiedliche Bewertung der
heit der Verantwortung in Bezug zum Risikomanagement Berichterstattung an verschiedene Adressaten zu unter-
nicht-finanzieller Risiken. Dies wird von den Rückversiche- schiedlichen Zeitpunkten. Diese wird von Versicherern der
rern als grösste Herausforderung eingestuft. Kategorie 3 als Herausforderung eingestuft, wohingegen
Versicherer der Kategorie 2 keine besondere Herausforde
rung sehen. Kleine Versicherer stehen mit ihrer Beurteilung
jeweils dazwischen, so dass ein Rückschluss auf die Unter-
nehmensgrösse nicht gezogen werden kann. Eine deutlich
unterschiedliche Beurteilung ergibt sich auch bei den Fach-
kompetenzen / Erfahrungen in den Kontrollfunktionen. Hier
sehen kleinere Versicherungsunternehmen eine deutlich
geringere Herausforderung als die grösseren Versicherungs-
unternehmen.
18 I MAZARS & ZHAWKonsistentes Verständnis von
Wesentlichkeit und Risiko
Unterschiedliche Bewertungsmethoden
oder Grundlagen in Unterschiedlichen
Bereichen / Risikoarten
Doppelspurigkeiten und Redundanzen
bezüglich Kontrolltätigkeiten
Silodenken in den verschiedenen
Verteidigungslinien
Nutzung verschiedener (IT-)Systeme
für die Dokumentation der Risiko- und
Kontroll-Tätigkeiten und Ergebnisse
nach Aufsichtskategorie (Mittelwert, n=35)
Berichterstattung an verschiedene
KATEGORIE 2 KATEGORIE 3 KATEGORIEN 4 & 5
Adressaten zu unterschiedlichen Zeitpunkten
Klarheit der Verantwortlichkeiten in
Bezug zum Risikomanagement
nicht-finanzieller Risiken
Interessenskonflikte aufgrund
unterschiedlicher Zielsetzungen
in den drei Verteidigungslinien
Fachkompetenz / Erfahrung in den
Kontrollfunktionen
Überprüfung der Wirksamkeit der
Zusammenarbeit der drei Linien
«Falls die Fachkompetenz keine
‹Super-Revisoren› dann auch noch
Herausforderung darstellt, ist man
«Interne Revisoren müssen analytisch
wahrscheinlich zu wenig ambitioniert.»
eine hohe Fachkompetenz mitbringen.»
mitbringen. Darüber hinaus sollen diese
Informationsaustausch zwischen den
Verteidigungslinien
sehr gut sein, sowie eine investigative Denkweise
Parallele Strukturen für
Geschäft und Rechtseinheit
Ansehen und Autorität der
Kontrollfunktionen
Abbildung 14: Herausforderungen in Bezug zur Implementierung des Modells der drei Verteidigungslinien
(Informelle) Delegation von Verantwortung
an die Kontrollfunktionen
zu
noch
Weder
Stimme
Stimme
nicht zu
MAZARS & ZHAW I 19STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN
Abbildung 15: Abdeckung verschiedener Aufgaben durch Risikomanagement, Compliance, Interne Revision und externe
Dienstleister (n=35)
GESAMT
Alle Angaben in Prozent
100 94 94
91 91% 91
88
85
80
69
66 66
60 60
60 54
51% 51
48 48 49
40 40 40
40 34% 34
37
31
28
26
23 23 23
20 20% 20
20 14 14 14 14
17 17
11% 11 11 11
8 9
6 6
3% 3% 3 3
0 0%
0
Überprüfung der Einhaltung von Gesetzen,
Weisungen und Regeln
Einholen von externen Assurance Berichten
(wie PS 950 Bericht, ISAE 3000 Report,
ISAE 3402 Report, US SOC Report)
Beratung des obersten Organs bezüglich
Risiko- / Rendite-Abwägungen
Kontrollprüfung (Testing)
Beurteilung der Wirksamkeit und
Angemessenheit des Kontrollumfelds
Kontrolldurchführung
Validierung von Modellen
Überwachung des Risikomanagements
der ersten Verteidigungslinie
Entwicklung und Definition von
Risikoindikatoren
Beratung der ersten Verteidigungslinie
bei Risikofragen
Überprüfung der Ordnungsmässigkeit
aller Aktivitäten und Prozesse
Berichterstattung über die Risikolage
Entwicklung und Überwachung des
Risikorahmenwerks sowie der Leitlinien
RISIKOMANAGEMENT COMPLIANCE INTERNE REVISION EXTERNE DIENSTLEISTER
AUFGABENSPEKTRUM DER KONTROLLFUNKTIONEN
Der Grossteil der Risiko- und Kontrolltätigkeiten wird von Ergänzend gaben einige Befragte an, dass auch das Business
der Risikomanagement-Funktion wahrgenommen (Abbil Continuity Management sowie einzelne Risikoassessments
dung 15). Bei denjenigen Aufgaben, an denen das Risiko und Erstellung von Risikoszenarien zu den Aufgaben des
management nicht federführend ist, ist es zumindest einge Risikomanagements gehören. Zu den weiteren Aufgaben
bunden. Die Überprüfung der Einhaltung von Gesetzen, der Compliance Funktion gehören auch Sensibilisierungen
Weisungen und Regeln liegt, wie erwartet, in der Verantwor und Schulungen zu den jeweiligen Themen und Aufgaben.
tung der Compliance Funktion. Der Fokus der internen Darüber hinaus wurden, nebst den abgefragten, keine
Revision liegt auf der Überprüfung der Ordnungsmässigkeit weiteren Aufgaben genannt. Nicht abgefragt wurde das
aller Aktivitäten und Prozesse, der Beurteilung der Wirksam Aufgabenspektrum der ersten Verteidigungslinie. Auffallend
keit und Angemessenheit des Kontrollumfeldes, des Testings ist, dass Aufgaben wie beispielsweise Kontrollprüfung
sowie der Überwachung des Risikomanagements der zwei- (Testing) oder die Berichterstattung über die Risikolage von
ten Linie. Diese Aufgaben werden mehrheitlich selbst und mehreren Kontrollfunktionen wahrgenommen werden.
selten von externen Dienstleistern erfüllt.
20 I MAZARS & ZHAWAbbildung 16: Anteil der Kontrollfunktionen am
Aufgabenspektrum nach Geschäftsbereichen (n=35)
Die insgesamt häufigsten Nennungen waren die
Aufgaben «Berichterstattung über die Risikolage», Kranken- Rück- Lebens- / Sach-
versicherung versicherung versicherung
«Beurteilung der Wirksamkeit und Angemessenheit
100 5% 14 % 3%
des Kontrollumfeldes» sowie «Überwachung des
Risikomanagements der ersten Verteidigungslinie». 22 %
80 26 % 17 %
Bei einer aggregierten Betrachtung aller genannten
Aufgaben übernimmt das Risikomanagement bei
allen Geschäftsfeldern die meisten Aufgabenarten (vgl.
60 17 % 22 % 33 %
Abbildung 16). Unterschiedlich ist das Spektrum von
Compliance und Interner Revision. Bei den Kranken
versicherern hat die Interne Revision ein breiteres Auf 40
gabenspektrum als Compliance. Letztere nehmen im
Vergleich bei Rück, Lebens- und Sachversicherern ein
höheres Aufgabenspektrum wahr. Externe Dienstleister 20
werden in diesem Zusammenhang am meisten von den
Rückversicherern genutzt, machen jedoch nur einen 0 52 % 47 % 42 %
geringen Anteil am gesamten Aufgabenspektrum aus.
RISIKOMANAGEMENT COMPLIANCE INTERNE REVISION
Die Betrachtung nach Aufsichtskategorie zeigt, dass,
EXTERNE DIENSTLEISTER
über alle Kategorien hinweg, das Risikomanagement
das grösste Aufgabenspektrum abdeckt (vgl. Abbildung
17). Bei grossen Unternehmen fällt das im Vergleich hohe Abbildung 17: Anteil der Kontrollfunktionen am
Aufgabenspektrum der Compliance auf. Auch bei kleine- Aufgabenspektrum nach Aufsichtskategorie (n=35)
ren Versicherern wird rund ein Viertel des abgefragten
Aufgabenspektrums durch Compliance (mit-) abgedeckt. Kategorie 2 Kategorie 3 Kategorien 4 & 5
Bei Versicherern der Aufsichtskategorie 3 hat im Vergleich 100 4% 7% 10 %
die Interne Revision ein grösseres Aufgabenspektrum 17 %
als die Funktion Compliance. Externe Dienstleister wer- 24 %
80 19 %
den am häufigsten von kleinen und mittelgrossen Rück-
versicherungsunternehmen in Anspruch genommen.
60 35 % 19 % 27 %
«Die ‹Ownership› für Risiken sollte nach wie vor
formell wie auch kulturell in der ersten Linie liegen.»
40
«Hier könnte man wie im Formel 1-Geschäft anmerken,
dass, trotz vieler Regeln und Aufseher, immer noch die
Fahrer die wichtigsten Entscheidungen treffen.» 20
0 43 % 50 % 44 %
RISIKOMANAGEMENT COMPLIANCE INTERNE REVISION
EXTERNE DIENSTLEISTER
MAZARS & ZHAW I 21STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN
Abbildung 18: Abdeckung verschiedener Aufgaben durch Risikomanagement, Compliance, Interne Revision und externe
Dienstleister bei Krankenversicherer (n=10)
KRANKENVE RSICHERER
Alle Angaben in Prozent
100 100 100 100 100
100
90
80 80
80
70 70 70
60 60 60
60
50 50
40 40 40 40
40
30 30 30
20 20 20 20 20 20
20
10 10 10 10 10 10 10 10 10 10 10 10
0 0 0 0 00 0 0 0 0 0 0
Überprüfung der Einhaltung von Gesetzen,
Weisungen und Regeln
Einholen von externen Assurance Berichten
(wie PS 950 Bericht, ISAE 3000 Report,
ISAE 3402 Report, US SOC Report)
Beratung des obersten Organs bezüglich
Risiko- / Rendite-Abwägungen
Kontrollprüfung (Testing)
Beurteilung der Wirksamkeit und
Angemessenheit des Kontrollumfelds
Kontrolldurchführung
Validierung von Modellen
Überwachung des Risikomanagements
der ersten Verteidigungslinie
Entwicklung und Definition von
Risikoindikatoren
Beratung der ersten Verteidigungslinie
bei Risikofragen
Überprüfung der Ordnungsmässigkeit
aller Aktivitäten und Prozesse
Berichterstattung über die Risikolage
Entwicklung und Überwachung des
Risikorahmenwerks sowie der Leitlinien
RISIKOMANAGEMENT COMPLIANCE INTERNE REVISION EXTERNE DIENSTLEISTER
Bei der Differenzierung nach Geschäftsfeld ist auffallend, den anderen Gesellschaften ins Auge (Abbildungen 16 und
dass bei den Krankenversicherern einzelne Aufgaben aus- 19). Mit jeweils über 40 % sind diese in die Validierung von
schliesslich vom Risikomanagement wahrgenommen wer- Modellen und die Überprüfung der Ordnungsmässigkeit aller
den (Abbildung 18). So beispielsweise die Entwicklung Aktivitäten und Prozesse eingebunden. Auch das Einholen
und Überwachung des Risikorahmenwerks sowie der Leit- von unabhängigen Assurance Berichten wird primär durch
linien. Des Weiteren zeigen die Rückmeldungen der Teilneh externe Dienstleister durchgeführt. Darüber hinaus ist das
menden, dass die Interne Revision bei Krankenversicherern Aufgabenspektrum des Risikomanagements bei einigen
im Vergleich zu Rück-, Lebens- und Sachversicherern ein Rückversicherern im Vergleich zu den Unternehmen anderer
grösseres Aufgabenspektrum wahrnimmt. Bei den Rück- Sparten weniger breit. Eine mögliche Erklärung ist die
versicherungsunternehmen sticht die im Vergleich hohe verstärkte Tendenz, insbesondere bei kleineren Rückver-
Beteiligung von externen Dienstleistern im Vergleich zu sicherern, Aufgaben zu externalisieren.
22 I MAZARS & ZHAWAbbildung 19: Abdeckung verschiedener Aufgaben durch Risikomanagement, Compliance, Interne Revision und externe
Dienstleister bei Rückversicherer (n=14)
RÜCKVERSIC HERER
Alle Angaben in Prozent
100 93
86 86 86
80 79 79 79
71
64 64
60 57 57
50
43 43 43 43 43
40 36 36 36
29 29 29 29
21 21 21 21 21 21
20 14 14 14 14 14 14 14 14
7 7 7 7 7 7 7 7 7 7
0 0 0 0
Überprüfung der Einhaltung von Gesetzen,
Weisungen und Regeln
Einholen von externen Assurance Berichten
(wie PS 950 Bericht, ISAE 3000 Report,
ISAE 3402 Report, US SOC Report)
Beratung des obersten Organs bezüglich
Risiko- / Rendite-Abwägungen
Kontrollprüfung (Testing)
Beurteilung der Wirksamkeit und
Angemessenheit des Kontrollumfelds
Kontrolldurchführung
Validierung von Modellen
Überwachung des Risikomanagements
der ersten Verteidigungslinie
Entwicklung und Definition von
Risikoindikatoren
Beratung der ersten Verteidigungslinie
bei Risikofragen
Überprüfung der Ordnungsmässigkeit
aller Aktivitäten und Prozesse
Berichterstattung über die Risikolage
Entwicklung und Überwachung des
Risikorahmenwerks sowie der Leitlinien
RISIKOMANAGEMENT COMPLIANCE INTERNE REVISION EXTERNE DIENSTLEISTER
«Natürlich findet die Beratung und
Revision objektgetrennt statt.»
«Unter dem Deckmäntelchen der Unabhängigkeit
alles zu isolieren und zu separieren,
ist weder effizient, noch effektiv.»
«Es besteht die Gefahr, dass die Assurance
Funktionen gemäss Buchstabe ‹unabhängig› sind,
dann aber keine Erfahrungen sammeln können
und den Bezug zur Geschäftsrealität verlieren.»
«Damit gute Risikoentscheide getroffen werden,
sollten alle Perspektiven vertreten sein,
genau darin besteht ja der Balance-Mechanismus.»
MAZARS & ZHAW I 23STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN
Abbildung 20: Abdeckung verschiedener Aufgaben durch Risikomanagement, Compliance, Interne Revision und externe
Dienstleister bei Lebens- / Sachversicherer (n=11)
LEBENS- / SACHVERSIC HERER
Alle Angaben in Prozent
100 100 100 100
100
91 91 91 91
82 82 82
80
73 73 73 73
64 64 64
60 55 55 55 55
14%
45 45 45
40 36 36 36 36 36
27 27
20 18 18 18 18
9 9 9 9 9 9 9
0 0 00 0 0 0 0 0 0
Überprüfung der Einhaltung von Gesetzen,
Weisungen und Regeln
Einholen von externen Assurance Berichten
(wie PS 950 Bericht, ISAE 3000 Report,
ISAE 3402 Report, US SOC Report)
Beratung des obersten Organs bezüglich
Risiko- / Rendite-Abwägungen
Kontrollprüfung (Testing)
Beurteilung der Wirksamkeit und
Angemessenheit des Kontrollumfelds
Kontrolldurchführung
Validierung von Modellen
Überwachung des Risikomanagements
der ersten Verteidigungslinie
Entwicklung und Definition von
Risikoindikatoren
Beratung der ersten Verteidigungslinie
bei Risikofragen
Überprüfung der Ordnungsmässigkeit
aller Aktivitäten und Prozesse
Berichterstattung über die Risikolage
Entwicklung und Überwachung des
Risikorahmenwerks sowie der Leitlinien
RISIKOMANAGEMENT COMPLIANCE INTERNE REVISION EXTERNE DIENSTLEISTER
Bei den Lebens- und Sachversicherern ist der Bereich Rund 37 % der befragten Unternehmen gaben an, dass
Compliance verglichen mit Kranken- und Rückversiche sie neben den genannten Kontrollfunktionen noch weitere
rungen stärker in die verschiedenen Aufgaben eingebun Stellen, welche Risiko- und Kontrolltätigkeiten ausüben,
den (Abbildungen 16 und 20). Hier zeigt sich, dass es ins- umgesetzt haben. Hier wurden unter anderem Controlling-
besondere zwischen Risikomanagement und Compliance funktionen, IT-Funktionen, Datenschutzbeauftragte und
zu einer Überschneidung der Aufgabenbereiche kommt. Governance Einheiten genannt. Ebenfalls genannt wurden
Externe Dienstleister werden nur in sehr geringem Umfang in diesem Zusammenhang Personaleinheiten.
mit den abgefragten Aufgaben betraut.
24 I MAZARS & ZHAWAbbildung 21: Wichtigkeit der Aspekte zur Einhaltung der Unabhängigkeit der Kontrollfunktionen (n=35)
Direktes Reporting an den Verwaltungsrat 3% 23 % 74 %
(mind. 1x jährlich)
Sicherstellung des Zugangs zu Ressourcen und 3 % 3 % 17 % 77 %
Informationen
Direkter Zugang zum Verwaltungsrat 3%3% 31 % 63 %
(bspw. Beisitz, Termin einberufen können)
Trennung der Verantwortlichkeiten auf
Geschäftsleitungsebene in den Bereichen Accounting, 6% 6% 40 % 49 %
Asset-Management sowie IT von Risikomanagement
und Compliance
Unabhängigkeit des variablen Gehalts vom Ergebnis des 3% 9% 14 % 40 % 34 %
zu überwachenden Geschäftsbereichs
0 20 40 60 80 100
WEISS NICHT / NICHT BEURTEILBAR UNWICHTIG EHER UNWICHTIG WEDER NOCH EHER WICHTIG SEHR WICHTIG
In den persönlichen Interviews wurde deutlich, dass Mehrheit als wichtig eingestuft. Des Weiteren wurde die
die Definition und Umsetzung der Unabhängigkeit der Möglichkeit des direkten Zugangs zu Entscheidungs-
Kontrollfunktionen Anlass zu Fragen und Diskussion gibt. trägern auch ausserhalb des Verwaltungsrats genannt.
Nicht hinterfragt wird die Wichtigkeit der Thematik, wie Eine Auswertung der Ergebnisse nach Geschäftsfeld oder
auch die Online Befragung bestätigt (Abbildung 21). Aufsichtskategorie brachte nur minimal abweichende
Unklar ist, welche sich als beste Umsetzungspraxis eta- Ergebnisse.
blieren soll. Alle abgefragten Aspekte wurden von der
MAZARS & ZHAW I 25STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN
Abbildung 22: Anteil Vollzeitäquivalente in den jeweiligen Funktionen nach Aufsichtskategorie (n=5, 17, 13)
KATEGORIE 2 KATEGORIE 3 KATEGORIEN 4 & 5
40 % 20 % 20 % 20 % 38 % 19 % 13 % 25 % 6 % 70 % 20 % 10 %
Interne Revision
IT-Sicherheit / 20 % 60 % 20 % 64 % 24 % 6 % 6 % 77 % 15 % 8 %
IT-Assurance
25 % 75 % 29 % 29 % 41 % 85 % 15 %
Compliance
Quantitatives 40 % 60 % 13 % 44 % 31 % 6 % 6 % 38 % 38 % 15 % 8 %
Risikomanagement
und Aktuariat
Qualitatives 20 % 80 % 19 % 50 % 31 % 69 % 31 %
Risikomanagement
und interne Kontrolle
0 20 40 60 80 100 0 20 40 60 80 100 0 20 40 60 80 100
0-1 2-3 4-5 6-10 MEHR ALS 10
Abbildung 23: Anteil Vollzeitäquivalente in den jeweiligen Funktionen nach Geschäftsfeld (n=10, 14, 11)
KRANKENVERSICHERER RÜCKVERSICHERER LEBENS- / SACHVERSICHERER
22 % 11 % 32 % 44 % 82 % 18 % 20 % 20 % 20 % 20 % 20 %
Interne Revision
IT-Sicherheit / 50 % 40 % 10 % 93 % 7% 27 % 18 % 36 % 9 %9 %
IT-Assurance
30 % 20 % 50 % 71 % 29 % 30 % 10 % 20 % 10 % 30 %
Compliance
Quantitatives 50 % 50 % 46 % 38 % 15 % 9% 36 % 9% 45 %
Risikomanagement
und Aktuariat
Qualitatives 20 % 80 % 54 % 23 % 23 % 27 % 18 % 18 % 36 %
Risikomanagement
und interne Kontrolle
0 20 40 60 80 100 0 20 40 60 80 100 0 20 40 60 80 100
0-1 2-3 4-5 6-10 MEHR ALS 10
Gefragt nach den Vollzeitäquivalenten in den jeweiligen im Bereich Compliance aufweisen und am meisten
Funktionen ergab sich kein einheitliches Bild. Die Ab Mitarbeitende im Bereich quantitatives Risikomana-
bildungen 22 und 23 veranschaulichen die jeweiligen gement und Aktuariat. Grosse Versicherer haben in
Angaben. In dieser Frage wurde auch nach Mitarbeitenden diesem Kontrollbereich zusammen mit Compliance
im Bereich IT-Sicherheit und IT-Assurance gefragt, die am meisten Mitarbeitende beschäftigt.
im Vergleich aber einen geringen Anteil einnehmen. Bei Bei Untersuchung der einzelnen Geschäftsfelder
Analyse nach Aufsichtskategorie zeigt sich, dass kleinere konnten in Abhängigkeit von der Mitarbeiterzahl
Versicherer tendenziell am wenigsten Mitarbeitende keine Auffälligkeiten festgestellt werden.
26 I MAZARS & ZHAWSie können auch lesen
