Organisation und Prozesse des Risikomanagements
Organisation und Prozesse des Risikomanagements
Unser konzernweites Risikomanagement ist darauf ausgerichtet, durch gezieltes Abwägen von Chancen und Risiken einen wesentlichen Beitrag zum profitablen Wachstum und damit zur Umsetzung unserer Strategie zu leisten. Gewinn und Wertschöpfung sind die Grundlage unserer nachhaltigen Entwicklung im Interesse unserer Kunden, Aktionäre, Mitarbeiter und Geschäftspartner. Zur Gewährleistung eines effizienten Risikomanagementsystems hat die Hannover Rück Risikomanagementfunktionen und Gremien konzernweit eingerichtet. In diesem System sind die einzelnen Elemente des Risikomanagements eng miteinander verzahnt und die Rollen, Aufgaben und Berichtswege sind klar definiert und in Richtlinien dokumentiert. Dies ermöglicht ein gemeinsames Verständnis für eine konzernweite und ganzheitliche Überwachung aller wesentlichen Risiken. Zur Unterstützung der Risikokommunikation und zur Etablierung einer offenen Risikokultur finden regelmäßige Treffen der konzernweiten Risikomanagementfunktionen statt. Die Organisation und das Zusammenwirken der einzelnen Funktionen im Risikomanagement sind elementar für unser internes Risikosteuerungs- und Kontrollsystem. Einen Überblick über die zentralen Funktionen und Gremien im Gesamtsystem sowie deren wesentlichen Aufgaben und Kompetenzen vermittelt die unten folgende Darstellung.
Die systematische Risikoidentifikation, -analyse, -bewertung, -steuerung und -überwachung sowie die Risikoberichterstattung sind wesentlich für die Wirksamkeit des gesamten Risikomanagements. Nur durch eine frühzeitige Berücksichtigung von Risiken wird der Fortbestand unseres Konzerns sichergestellt. Das etablierte System unterliegt – wie auch die Unternehmens- und die Risikostrategie – einem permanenten Zyklus der Planung, Tätigkeit, Kontrolle und Verbesserung.
Die Rahmenrichtlinie zum Risikomanagement des Hannover Rück-Konzerns beschreibt die bestehenden Elemente des eingerichteten Risikomanagementsystems. Dort werden unter anderem die wesentlichen Aufgaben, Rechte und Verantwortlichkeiten, organisatorische Rahmenbedingungen und der Risikokontrollprozess beschrieben. Außerdem regelt die Richtlinie die Grundsätze für die Beurteilung neuer Produkte unter Risikogesichtspunkten sowie Anforderungen an die Ausgliederungen von Funktionen. Ihr Ziel ist es, homogene Konzernstandards für das Risikomanagement zu etablieren. Wesentliche Elemente unseres Risikomanagementsystems sind:
Risikotragfähigkeitskonzept
Die Ermittlung der Risikotragfähigkeit beinhaltet die Bestimmung des insgesamt zur Verfügung stehenden Risikodeckungspotenzials und der Berechnung, wie viel davon zur Abdeckung aller wesentlichen Risiken verwendet werden soll. Dies erfolgt im Einklang mit den Vorgaben der Risikostrategie und der Festlegung des Risikoappetits durch den Vorstand. Mit unserem Risikomodell erfolgt eine Bewertung der quantitativ bewertbaren Einzelrisiken sowie der gesamten Risikoposition. Zur Überwachung der wesentlichen Risiken existiert ein zentrales Limit- und Schwellenwertsystem. In dieses System fließen – neben weiteren risikorelevanten Kennzahlen – insbesondere die aus der Risikotragfähigkeit abgeleiteten und ermittelten Kenngrößen ein. Die Einhaltung des Gesamtrisikoappetits wird anhand der Ergebnisse des Risikomodells überprüft. Die Berechnung wird halbjährlich aktualisiert.
Risikoidentifikation
Wichtigste Informationsbasis für die Überwachung der Risiken ist die turnusmäßige Risikoidentifikation. Um sicherzustellen, dass im Rahmen der Risikoidentifizierung alle Risiken erkannt werden, existiert eine übergreifende Kategorisierung, die alle wesentlichen Risiken enthält. Die Risikoidentifikation erfolgt – dem jeweiligen Risiko angepasst – zum Beispiel in Form von strukturierten Assessments, Interviews, Szenarioanalysen, Checklisten oder standardisierten Fragebögen. Externe Erkenntnisse wie anerkanntes Branchen-Know-how (z. B. aus Positionspapieren des CRO-Forums; das CRO-Forum ist eine internationale Organisation der Chief Risk Officer (CRO) großer Versicherungs- und Rückversicherungsunternehmen) fließen in den Prozess mit ein. Die Risikoidentifikation stellt sicher, dass die aus der laufenden und der turnusmäßigen Überwachung bekannt gewordenen neuen Risiken ergänzt werden und bekannte Risiken bei Bedarf überarbeitet werden.
Risikoanalyse und -bewertung
Jedes identifizierte und als wesentlich erachtete Risiko wird quantitativ bewertet. Nur die Risikoarten, für die eine quantitative Risikomessung derzeit nicht oder schwer möglich ist, werden qualitativ bewertet, z. B. Reputationsrisiken oder die zukünftigen Risiken (Emerging Risks). Die Bewertung erfolgt zum Beispiel durch qualitative Risikoeinschätzungen (Self Assessments). Beim Risikomodell der Hannover Rück erfolgt durch das Group-Risk-Management eine quantitative Bewertung der wesentlichen Risiken und der Gesamtrisikoposition. Dabei werden soweit möglich Risikokumule und -konzentrationen berücksichtigt.
Risikosteuerung
Die Steuerung aller wesentlichen Risiken ist Aufgabe der operativen Geschäftsbereiche auf Bereichs- bzw. Gesellschaftsebene. Die Risikosteuerung umfasst dabei den Entwicklungs- und Umsetzungsprozess von Strategien und Konzepten, die darauf ausgerichtet sind, identifizierte und analysierte Risiken entweder bewusst zu akzeptieren, zu vermeiden oder zu reduzieren. Bei der Entscheidung durch den Geschäftsbereich werden das Chancen-/Risikoverhältnis sowie der Kapitalbedarf berücksichtigt. Operativ unterstützt wird die Risikosteuerung beispielsweise durch die Vorgaben der dezentralen Zeichnungsrichtlinien, das Limit- und Schwellenwertsystem oder auch durch das interne Kontrollsystem (IKS).
Risikoüberwachung
Elementare Aufgabe des Risikomanagements ist die Überwachung aller identifizierten wesentlichen Risiken. Dies beinhaltet unter anderem die Überwachung der Umsetzung der Risikostrategie und die der Einhaltung der definierten Limite und Schwellenwerte. Wichtige Aufgabe der Risikoüberwachung ist es zudem, festzustellen, ob die Risikosteuerungsmaßnahmen zum geplanten Zeitpunkt durchgeführt wurden und ob die geplante Wirkung der Maßnahmen ausreichend ist.
Risikokommunikation und Risikokultur
Der Vorstand verantwortet die Implementierung einer konzernweiten Risikokommunikation und Risikokultur. Das Risikomanagement ist im Auftrag des Vorstands für die operative Umsetzung verantwortlich. Wesentliche Elemente der Kommunikation sind zum Beispiel die interne und externe Risikoberichterstattung, Informationen zu Risikokomplexen im Intranet (z. B. Positionspapiere zu Emerging Risks), sowie regelmäßige Treffen der Risikomanagementverantwortlichen im Konzern.
Risikoberichterstattung
Unsere Risikoberichterstattung verfolgt das Ziel, systematisch und zeitnah über Risiken und deren potenzielle Auswirkungen zu informieren sowie eine ausreichende unternehmensinterne Kommunikation über alle wesentlichen Risiken sicherzustellen. Das zentrale Risikoberichtswesen besteht primär aus turnusmäßigen Risikoberichten, z. B. über die Gesamtrisikosituation, die Einhaltung der in der Risikostrategie definierten Kenngrößen oder der Kapazitätsauslastung der Naturkatastrophenszenarien. Ergänzend zur Regelberichterstattung erfolgt im Bedarfsfall eine interne Sofortberichterstattung über wesentliche und kurzfristig auftretende Risiken.
Prozessintegrierte/-unabhängige Überwachung und Qualitätssicherung
Der Vorstand ist unabhängig von der internen Zuständigkeitsregelung für die ordnungsgemäße Geschäftsorganisation des Unternehmens verantwortlich. Dies umfasst auch die Überwachung des internen Risikosteuerungs- und Kontrollsystems. Eine prozessunabhängige Überwachung und Qualitätssicherung des Risikomanagements erfolgt durch die interne Revision und externe Instanzen (Wirtschaftsprüfer, Aufsichtsbehörden). Insbesondere durch den Wirtschaftsprüfer erfolgt eine Prüfung des Risikofrüherkennungssystems und des internen Überwachungssystems. Durch prozessintegrierte Verfahren und Regelungen, beispielsweise durch das interne Kontrollsystem, wird das Gesamtsystem vervollständigt.