Organisation und Prozesse des Risikomanagements
Unser konzernweites Risikomanagement ist darauf ausgerichtet,
durch gezieltes Abwägen von Chancen und Risiken
einen wesentlichen Beitrag zum profitablen Wachstum und
damit zur Umsetzung unserer Strategie zu leisten. Gewinn
und Wertschöpfung sind die Grundlage unserer nachhaltigen
Entwicklung im Interesse unserer Kunden, Aktionäre, Mitarbeiter
und Geschäftspartner. Zur Gewährleistung eines
effizienten
Risikomanagementsystems hat die Hannover Rück
Risikomanagementfunktionen und Gremien konzernweit eingerichtet.
In diesem System sind die einzelnen Elemente des
Risikomanagements eng miteinander verzahnt und die Rollen,
Aufgaben und Berichtswege sind klar definiert und in
Richtlinien dokumentiert. Dies ermöglicht ein gemeinsames
Verständnis für eine konzernweite und ganzheitliche Überwachung
aller wesentlichen Risiken. Zur Unterstützung der
Risikokommunikation und zur Etablierung einer offenen
Risikokultur finden regelmäßige Treffen der konzernweiten
Risikomanagementfunktionen statt. Die Organisation und
das Zusammenwirken der einzelnen Funktionen im Risikomanagement
sind elementar für unser internes Risikosteuerungs-
und Kontrollsystem. Einen Überblick über die zentralen
Funktionen und Gremien im Gesamtsystem sowie deren
wesentlichen Aufgaben und Kompetenzen vermittelt die Darstellung
auf folgender Seite.
Die systematische Risikoidentifikation, -analyse, -bewertung,
-steuerung und -überwachung sowie die Risikoberichterstattung
sind wesentlich für die Wirksamkeit des gesamten
Risikomanagements. Nur durch eine frühzeitige Berücksichtigung
von Risiken wird der Fortbestand unseres Konzerns
sichergestellt. Das etablierte System unterliegt – wie auch die
Unternehmens- und die Risikostrategie – einem permanenten
Zyklus der Planung, Tätigkeit, Kontrolle und Verbesserung.
Die Rahmenrichtlinie zum Risikomanagement des Hannover
Rück-Konzerns beschreibt die bestehenden Elemente des
eingerichteten
Risikomanagementsystems. Dort werden
unter anderem die wesentlichen Aufgaben, Rechte und Verantwortlichkeiten,
organisatorische Rahmenbedingungen
und der Risikokontrollprozess beschrieben. Außerdem regelt
die Richtlinie die Grundsätze für die Beurteilung neuer Produkte
unter Risikogesichtspunkten sowie Anforderungen
an die Ausgliederungen von Funktionen. Ihr Ziel ist es,
homogene
Konzernstandards für das Risikomanagement zu
etablieren. Wesentliche Elemente unseres Risikomanagementsystems
sind:
Risikotragfähigkeitskonzept
Die Ermittlung der Risikotragfähigkeit beinhaltet die Bestimmung
des insgesamt zur Verfügung stehenden Risikodeckungspotenzials
und der Berechnung, wie viel davon zur
Abdeckung aller wesentlichen Risiken verwendet werden
soll. Dies erfolgt im Einklang mit den Vorgaben der Risikostrategie
und der Festlegung des Risikoappetits durch den
Vorstand. Mit unserem Risikomodell erfolgt eine Bewertung
der quantitativ bewertbaren Einzelrisiken sowie der gesamten
Risikoposition.
Zur Überwachung der wesentlichen Risiken
existiert ein zentrales Limit- und Schwellenwertsystem.
In
dieses System
fließen – neben weiteren risikorelevanten
Kennzahlen – insbesondere die aus der Risikotragfähigkeit
abgeleiteten und ermittelten Kenngrößen ein. Die Einhaltung
des Gesamtrisikoappetits wird anhand der Ergebnisse des
Risikomodells überprüft. Die Berechnung wird halbjährlich
aktualisiert.
Risikoidentifikation
Wichtigste Informationsbasis für die Überwachung der
Risiken
ist die turnusmäßige Risikoidentifikation. Um sicherzustellen,
dass im Rahmen der Risikoidentifizierung alle
Risiken erkannt werden, existiert eine übergreifende Kategorisierung,
die alle wesentlichen Risiken enthält. Die Risikoidentifikation erfolgt – dem jeweiligen Risiko angepasst
– zum Beispiel in Form von strukturierten Assessments,
Interviews, Szenarioanalysen, Checklisten oder standardisierten
Fragebögen.
Externe Erkenntnisse wie anerkanntes
Branchen-Know-how (z. B. aus Positionspapieren des CRO-Forums;
das CRO-Forum ist eine internationale Organisation
der Chief Risk Officer (CRO) großer Versicherungs- und
Rückversicherungsunternehmen)
fließen in den Prozess mit
ein. Die Risikoidentifikation stellt sicher, dass die aus der
laufenden und der turnusmäßigen Überwachung bekannt
gewordenen
neuen Risiken ergänzt werden und bekannte
Risiken bei Bedarf überarbeitet werden.
Risikoanalyse und -bewertung
Jedes identifizierte und als wesentlich erachtete Risiko wird
quantitativ bewertet. Nur die Risikoarten, für die eine quantitative
Risikomessung derzeit nicht oder schwer möglich
ist, werden qualitativ bewertet, z. B. Reputationsrisiken oder
die zukünftigen Risiken (Emerging Risks). Die Bewertung
erfolgt zum Beispiel durch qualitative Risikoeinschätzungen (Self Assessments). Beim Risikomodell der Hannover Rück
erfolgt durch das Group-Risk-Management eine quantitative
Bewertung
der wesentlichen Risiken und der Gesamtrisikoposition.
Dabei werden soweit möglich Risikokumule
und -konzentrationen berücksichtigt.
Risikosteuerung
Die Steuerung aller wesentlichen Risiken ist Aufgabe der
operativen Geschäftsbereiche auf Bereichs- bzw. Gesellschaftsebene.
Die Risikosteuerung umfasst dabei den
Entwicklungs-
und Umsetzungsprozess von Strategien und
Konzepten, die darauf ausgerichtet sind, identifizierte und
analysierte Risiken
entweder bewusst zu akzeptieren, zu
vermeiden oder zu reduzieren. Bei der Entscheidung durch
den Geschäftsbereich werden das Chancen-/Risikoverhältnis
sowie der Kapitalbedarf
berücksichtigt. Operativ unterstützt
wird die Risikosteuerung beispielsweise durch die Vorgaben
der dezentralen Zeichnungsrichtlinien, das Limit- und
Schwellenwertsystem
oder auch durch das interne Kontrollsystem
(IKS).
Risikoüberwachung
Elementare Aufgabe des Risikomanagements ist die Überwachung
aller identifizierten wesentlichen Risiken. Dies
beinhaltet
unter anderem die Überwachung der Umsetzung
der Risikostrategie und die der Einhaltung der definierten
Limite und Schwellenwerte. Wichtige Aufgabe der Risikoüberwachung
ist es zudem, festzustellen, ob die Risikosteuerungsmaßnahmen
zum geplanten Zeitpunkt durchgeführt
wurden und ob die geplante Wirkung der Maßnahmen ausreichend
ist.
Risikokommunikation und Risikokultur
Der Vorstand verantwortet die Implementierung einer
konzernweiten
Risikokommunikation und Risikokultur. Das
Risikomanagement
ist im Auftrag des Vorstands für die
operative
Umsetzung verantwortlich. Wesentliche Elemente
der Kommunikation sind zum Beispiel die interne und externe
Risikoberichterstattung, Informationen zu Risikokomplexen
im Intranet (z. B. Positionspapiere zu Emerging Risks), sowie
regelmäßige Treffen der Risikomanagementverantwortlichen
im Konzern.
Risikoberichterstattung
Unsere Risikoberichterstattung verfolgt das Ziel, systematisch
und zeitnah über Risiken und deren potenzielle
Auswirkungen
zu informieren sowie eine ausreichende
unternehmensinterne Kommunikation über alle wesentlichen
Risiken sicherzustellen. Das zentrale Risikoberichtswesen
besteht primär aus turnusmäßigen Risikoberichten,
z. B. über die Gesamtrisikosituation, die Einhaltung der in der
Risikostrategie
definierten Kenngrößen oder der Kapazitätsauslastung
der Naturkatastrophenszenarien. Ergänzend zur
Regelberichterstattung erfolgt im Bedarfsfall eine interne
Sofortberichterstattung über wesentliche und kurzfristig auftretende
Risiken.
Prozessintegrierte/-unabhängige Überwachung und Qualitätssicherung
Der Vorstand ist unabhängig von der internen Zuständigkeitsregelung
für die ordnungsgemäße Geschäftsorganisation des
Unternehmens verantwortlich. Dies umfasst auch die Überwachung
des internen Risikosteuerungs- und Kontrollsystems.
Eine prozessunabhängige Überwachung und Qualitätssicherung
des Risikomanagements erfolgt durch die interne
Revision und externe Instanzen (Wirtschaftsprüfer, Aufsichtsbehörden).
Insbesondere durch den Wirtschaftsprüfer erfolgt
eine Prüfung des Risikofrüherkennungssystems und des
internen Überwachungssystems. Durch prozessintegrierte
Verfahren und Regelungen, beispielsweise durch das interne
Kontrollsystem, wird das Gesamtsystem vervollständigt.