VAG (bis 2016) § 64a

IV. Geschäftsführung der Versicherungsunternehmen

1b. Besondere Pflichten von Unternehmen [1]

§ 64a Geschäftsorganisation; Geschäftsleiterpflichten [2]

(1)  1Versicherungsunternehmen müssen über eine ordnungsgemäße Geschäftsorganisation verfügen, welche die Einhaltung der von ihnen zu beachtenden Gesetze und Verordnungen sowie der aufsichtsbehördlichen Anforderungen gewährleistet. 2Verantwortlich für die ordnungsgemäße Geschäftsorganisation sind die in § 7a Abs. 1 Satz 4 bezeichneten Personen. 3Eine ordnungsgemäße Geschäftsorganisation setzt neben einer dem Geschäftsbetrieb angemessenen ordnungsgemäßen Verwaltung und Buchhaltung insbesondere ein angemessenes Risikomanagement voraus. 4Dieses erfordert:

  1. die Entwicklung einer auf die Steuerung des Unternehmens abgestimmten Risikostrategie, die Art, Umfang und Zeithorizont des betriebenen Geschäfts und der mit ihm verbundenen Risiken berücksichtigt;

  2. aufbau- und ablauforganisatorische Regelungen, die die Überwachung und Kontrolle der wesentlichen Abläufe und ihre Anpassung an veränderte allgemeine Bedingungen sicherstellen müssen;

  3. die Einrichtung eines geeigneten internen Steuerungs- und Kontrollsystems, das folgende Elemente umfasst:

    1. ein die Risikostrategie berücksichtigendes angemessenes Risikotragfähigkeitskonzept, aus dem ein geeignetes Limitsystem hergeleitet wird,

    2. angemessene, auf der Risikostrategie beruhende Prozesse, die eine Risikoidentifikation, -analyse, -bewertung, -steuerung und -überwachung enthalten,

    3. eine ausreichende unternehmensinterne Kommunikation über die als wesentlich eingestuften Risiken,

    4. eine aussagefähige Berichterstattung gegenüber der Geschäftsleitung, welche darstellt, was die wesentlichen Ziele des Risikomanagements sind, mit welchen Methoden die Risiken bewertet werden und was getan wurde, um die Risiken zu begrenzen, und die aufzeigt, wie sich die Maßnahmen zur Risikobegrenzung ausgewirkt haben und die Ziele erreicht und gesteuert wurden (Risikobericht);

  4. eine interne Revision, die die gesamte Geschäftsorganisation des Unternehmens überprüft.

(2)  1Versicherungsunternehmen nach § 104a Abs. 1 Nr. 1 und Versicherungs-Holdinggesellschaften nach § 1b Abs. 1, die übergeordnete Unternehmen einer Versicherungsgruppe sind, müssen ein angemessenes Risikomanagement der wesentlichen Risiken auf Ebene der Versicherungsgruppe sicherstellen. 2Übergeordnetes Unternehmen im Sinne dieses Absatzes ist das an der Spitze der Gruppe stehende Unternehmen, das entweder selbst Versicherungsunternehmen oder Versicherungs-Holdinggesellschaft ist.

(3)  1Die Risikostrategie, die aufbau- und ablauforganisatorischen Regelungen sowie das interne Steuerungs- und Kontrollsystem sind für Dritte nachvollziehbar zu dokumentieren. 2Die Dokumentation ist sechs Jahre aufzubewahren; § 257 Abs. 3 und 5 des Handelsgesetzbuchs gilt entsprechend.

(4)  1Bei Funktionsausgliederungen im Sinne des § 5 Abs. 3 Nr. 4, § 119 Abs. 2 Satz 2 Nr. 6 und bei Dienstleistungsverträgen dürfen die ordnungsgemäße Ausführung der ausgegliederten Funktionen und übertragenen Aufgaben, die Steuerungs- und Kontrollmöglichkeiten der Geschäftsleitung sowie die Prüfungs- und Kontrollrechte der Aufsichtsbehörde nicht beeinträchtigt werden. 2Das Versicherungsunternehmen hat sich insbesondere die erforderlichen Auskunfts- und Weisungsbefugnisse vertraglich zu sichern und die ausgegliederten Funktionen und übertragenen Aufgaben in sein Risikomanagement einzubeziehen. 3Ein Weisungsrecht ist dann nicht erforderlich, wenn im Rahmen einer steuerlichen Organschaft ein Versicherungsunternehmen Funktionen an eine Muttergesellschaft ausgliedert und diese sich für die Wahrnehmung der Funktionen vertraglich den gleichen aufsichtsrechtlichen Anforderungen unterwirft, die für das ausgliedernde Unternehmen gelten.

(5)  1Für Pensionskassen in der Rechtsform des Versicherungsvereins auf Gegenseitigkeit, deren Bilanzsumme am Abschlussstichtag des vorausgegangenen Geschäftsjahres 125 Millionen Euro nicht überstieg, für Schaden-, Unfall- und Krankenversicherungsvereine im Sinne des § 53 Abs. 1 sowie für Sterbekassen gilt Absatz 1 Satz 4 Nummer 3 Buchstabe d und Nummer 4 und Absatz 7 Nummer 3 Buchstabe d und Nummer 4 nicht. 2Die Aufsichtsbehörde soll andere Versicherungsunternehmen auf Antrag von den Regelungen des Absatzes 1 Satz 4 Nummer 3 Buchstabe d und Nummer 4 sowie Absatz 7 Nummer 3 Buchstabe d und Nummer 4 befreien, wenn sie nachweisen, dass der geforderte Aufwand in Anbetracht der Art, des Umfangs und des Zeithorizontes des betriebenen Geschäfts und der mit ihm verbundenen Risiken unverhältnismäßig wäre. 3§ 157a Abs. 2 gilt entsprechend.

(6)  1Die in Absatz 5 Satz 1 genannten Unternehmen müssen die für sie geltenden Anforderungen des Absatzes 1 Satz 4 spätestens bis zum erfüllen. 2Die übrigen Unternehmen müssen die für sie geltenden Anforderungen spätestens in dem Geschäftsjahr, das nach dem endet, erfüllen.

(7) Im Rahmen ihrer Gesamtverantwortung für eine ordnungsgemäße Geschäftsorganisation des Unternehmens nach Absatz 1 Satz 2 haben die Geschäftsleiter dafür Sorge zu tragen, dass das Unternehmen über folgende Strategien, Prozesse, Verfahren, Funktionen und Konzepte verfügt:

  1. eine auf die Steuerung des Unternehmens abgestimmte und zur Geschäftsstrategie konsistente Risikostrategie nach Absatz 1 Satz 4 Nummer 1, die Art, Umfang und Zeithorizont des betriebenen Geschäfts und der mit ihm verbundenen Risiken berücksichtigt, mindestens haben die Geschäftsleiter dafür Sorge zu tragen, dass

    1. die Risikostrategie für jedes dort benannte Risiko eine Darstellung der Art des Risikos, der Risikotoleranz, der Herkunft und des Zeithorizontes des Risikos und der Risikotragfähigkeit enthält; Unternehmen, die langfristige Garantien geben, müssen als Teil der Risikostrategie auch die langfristige Risikotragfähigkeit des Unternehmens darstellen;

    2. die Risikostrategie mindestens einmal jährlich überprüft wird;

    3. die Risikostrategie im Fall von substantiellen Veränderungen des Gesamtrisikoprofils, insbesondere im Zusammenhang mit der Aufnahme neuer Geschäftsfelder, der Einführung neuer Kapitalmarkt-, Versicherungs- oder Rückversicherungsprodukte oder signifikanter Veränderungen von Marktparametern und Risikoeinschätzungen zeitnah angepasst wird;

  2. aufbau- und ablauforganisatorische Regelungen nach Absatz 1 Satz 4 Nummer 2, die die Überwachung und Kontrolle der wesentlichen Abläufe und ihre Anpassung an veränderte Bedingungen sicherstellen müssen, mindestens haben die Geschäftsleiter dafür Sorge zu tragen, dass

    1. innerhalb der Aufbauorganisation Aufgaben und Verantwortlichkeiten klar definiert und voneinander abgegrenzt und Interessenkonflikte vermieden werden, in der Regel durch eine klare Funktionstrennung zwischen dem Aufbau von wesentlichen Risikopositionen und deren Überwachung und Kontrolle;

    2. innerhalb der innerbetrieblichen Leitlinien für die Ablauforganisation die mit wesentlichen Risiken behafteten Geschäftsabläufe, zumindest jedoch das versicherungstechnische Geschäft, die Reservierung, das Kapitalanlagemanagement einschließlich des Asset-Liability-Managements und das passive Rückversicherungsmanagement, benannt und deren Steuerung und Überwachung geregelt werden;

  3. ein geeignetes internes Steuerungs- und Kontrollsystem nach Absatz 1 Satz 4 Nummer 3, das mindestens folgende Elemente vorsieht:

    1. ein aus der Risikostrategie abgeleitetes angemessenes Risikotragfähigkeitskonzept, aus dem ein geeignetes Limitsystem hergeleitet wird; mindestens haben die Geschäftsleiter dafür Sorge zu tragen, dass innerhalb des Risikotragfähigkeitskonzeptes fortlaufend dargestellt wird, wie viel Risikodeckungspotenzial insgesamt zur Verfügung steht und wie viel davon zur Abdeckung aller wesentlichen Risiken verwendet werden soll, und dass innerhalb des Limitsystems die von der Geschäftsleitung gesetzten Begrenzungen der Risiken auf die wichtigsten steuernden Organisationsbereiche des Unternehmens heruntergebrochen werden und die tatsächliche Risikobedeckung anhand von Risikokennzahlen regelmäßig kontrolliert und hierüber gegenüber der Geschäftsleitung berichtet wird;

    2. angemessene, auf der Risikostrategie beruhende Prozesse, die eine Risikoidentifikation, -analyse, -bewertung, -steuerung und -überwachung enthalten; mindestens haben die Geschäftsleiter dafür Sorge zu tragen, dass

      aa)

      innerhalb der regelmäßig vorzunehmenden unternehmensweiten Risikoidentifikation interne und externe Einflussfaktoren (Risikotreiber), Bezugsgrößen, die von der Risikowirkung betroffen sind (Risikobezugsgrößen), und konkrete Risikoursachen benannt und Wesentlichkeitsgrenzen für die Risikobeurteilung definiert werden und dass als Ergebnis der Risikoanalyse und -bewertung eine qualitative und, soweit möglich, quantitative Einschätzung potenzieller und realisierter Zielabweichungen durch einzelne Risiken wie auch das Gesamtrisiko erfolgt;

      bb)

      der Zielerreichungsgrad von strategischen Risikozielen und den daraus konsistent abgeleiteten operativ messbaren Teilzielen anhand Risikokennzahlen regelmäßig überprüft wird und

      cc)

      eine regelmäßige Risikoüberwachung durch eine unabhängige Risikocontrollingfunktion erfolgt;

    3. eine ausreichende unternehmensinterne Kommunikation über die als wesentlich eingestuften Risiken; mindestens haben die Geschäftsleiter dafür Sorge zu tragen, dass

      aa)

      allen Mitarbeitern für ihre Tätigkeiten bekannt gegeben wird, welche Berichtslinien und Berichtspflichten zur Kommunikation über wesentliche Risiken zu beachten sind;

      bb)

      jedem Mitarbeiter bekannt gegeben wird, welche Pflichten er hinsichtlich wesentlicher Risiken zu beachten hat;

      cc)

      festgelegt wird, wer für die Steuerung der wesentlichen Risiken verantwortlich ist und

      dd)

      ein regelmäßiger Informationsaustausch zwischen der unabhängigen Risikocontrollingfunktion und den für die Steuerung der wesentlichen Risiken verantwortlichen Mitarbeiter stattfindet;

    4. eine aussagefähige Berichterstattung gegenüber der Geschäftsleitung; mindestens haben die Geschäftsleiter dafür Sorge zu tragen, dass in angemessenen, zumindest jährlichen Abständen gegenüber der Geschäftsleitung über das Gesamtrisikoprofil berichtet wird sowie bewertet und dargestellt wird, was die wesentlichen Ziele des Risikomanagements sind, mit welchen Methoden die Risiken bewertet werden, was getan wurde, um die Risiken zu begrenzen, wie sich die Maßnahmen zur Risikobegrenzung ausgewirkt haben, inwieweit die in der Risikostrategie festgelegten Ziele des Risikomanagements erreicht wurden (Soll-Ist-Abgleich), wie die Risiken gesteuert wurden, inwieweit die für die Risiken gesetzten Limite ausgelastet sind und wie die Risikotragfähigkeit bewertet wird (Risikobericht);

  4. eine interne Revision, die die gesamte Geschäftsorganisation des Unternehmens überprüft, mindestens hat jeder Geschäftsleiter sicherzustellen, dass das Unternehmen über eine funktionsfähige, objektiv und unabhängig arbeitende interne Revision verfügt, die das Risikomanagement auf Basis eines jährlich fortzuschreibenden Prüfungsplans prüft und hierüber jährlich unmittelbar an die Geschäftsleitung berichtet, und im Falle der (Teil-)Auslagerung einen Revisionsbeauftragten benennt, der eine ordnungsgemäße Durchführung der internen Revision sicherstellt.

(8) 1Wenn die Bundesanstalt zu dem Ergebnis kommt, dass ein Versicherungsunternehmen nicht über die Strategien, Prozesse, Verfahren, Funktionen und Konzepte nach Absatz 7 verfügt, kann sie, unabhängig von anderen Maßnahmen nach diesem Gesetz, anordnen, dass geeignete Maßnahmen ergriffen werden, um die festgestellten Mängel innerhalb einer angemessenen Frist zu beseitigen. 2§ 81, § 83a und § 87 bleiben unberührt.

Fundstelle(n):
zur Änderungsdokumentation
IAAAD-21200

1Anm. d. Red.: Überschrift eingefügt gem. Gesetz v. (BGBl I S. 950).

2Anm. d. Red.: § 64a i. d. F. des Gesetzes v. (BGBl I S. 1330).