Die Umsetzung von Solvency II erfordert neue Prozesse und IT-Lösungen

324 Zeitschrift für Versicherungswesen 10/2010

tisierte Risikomanagementlösungenvon SAS die Durchführung von Risi-koanalysen und risikobasierten Kapi-talkalkulationen auf Basis von Sol-vency-II-Standardmodellen ebensowie nach individuellen internen Mo-dellen. Mit den Ergebnissen dieserAnalysen sind Versicherer in der La-ge, schnell am Markt zu agieren, Ver-änderungen frühzeitig zu erkennenund proaktiv zu handeln – immer un-ter Berücksichtigung regulatorischerAnforderungen. So lassen sich wich-tige Wettbewerbsvorteile auf- undausbauen, etwa mit Blick auf Bonität,Anlagestrategien und Kapitalvertei-lung.

Alle für das Risikomanagement ver-wendeten Daten, Modelle, sämtlicheParametereinstellungen und ihre Er-gebnisse werden archiviert. So lässtsich – Stichwort: Revisionssicherheit– noch Jahre später feststellen, wiebestimmte Risikokalkulationen zu-stande gekommen sind, welche Fak-toren einbezogen und wie sie ge-wichtet wurden. Diese Archivierungerfolgt sinnvollerweise im gleichenRisikomanagementsystem wie dieDatensammlung, die Berechnungund die spätere Risikoaggregation.Insellösungen sollten möglichst ver-mieden oder zumindest überschau-bar gehalten werden.

Ergebnisse bedarfsgerecht aufbereiten

Das Risikomanagement dient jedochnicht allein der Erfüllung regulatori-scher Vorgaben. Es ist auch ein zen-trales Element der strategischen Un-ternehmenssteuerung. Dafür ist dieAggregation, die Aufbereitung, dieVerteilung und richtige Deutung derAnalyseergebnisse von zentraler Be-deutung. Anders als bei externen Re-portings, deren Vorgaben zum Bei-spiel durch Aufsichtsbehörden undRatingagenturen geregelt sind, ha-ben Unternehmen bei solchen inter-nen Berichten eigene Gestaltungs-spielräume, die es sinnvoll zu nutzengilt.

Fachabteilungen und Risikomanagersind an dieser Stelle gefordert, ge-

meinsam aussagekräftige, zielgrup-pentaugliche Standardreports zu ent-wickeln, die den unterschiedlichenEmpfänger- und Steuerungsebenenentsprechen. Was müssen die Fach-abteilungen wissen, um ihr Geschäftzu steuern? Und in welchem Rhyth-mus brauchen sie die aktuellen Infor-mationen? Wie sind die Zahlen fürden Vorstand zu aggregieren? Wel-chen Detailgrad und welche Perspek-tiven benötigt er, um ausreichend in-formiert zu sein?

Ausblick

Die anstehende Modernisierung desRisikomanagements bei deutschenVersicherern ist eine Aufgabe, dieFachbereiche und IT gemeinsam an-gehen müssen. Derzeit steigt die An-forderungslast an die Risk-Fachberei-che, die, nicht zuletzt vor dem Hinter-grund der nahenden Solvency-II-Fristund der aktuell durchgeführtenQuantitativen Impact-Studien, lau-fend neue Risikoberechnungen vorle-gen müssen. Dies ist – vor allem,wenn man dem eingangs formulier-ten Qualitätsanspruch folgt – nur miteiner integrierten, standardisierten

Risikomanagementlösung sinnvollmachbar. Insofern ist vor allem mitBlick auf Zeit- und Ressourcenpla-nung eine enge Abstimmung vonFachbereich und IT notwendig. An-dernfalls drohen Engpässe bei Pla-nung und Umsetzung. Auch wenn re-gulatorische Vorgaben im Risikoma-nagement derzeit den Takt vorgeben,sollten Unternehmen bei alledem dieinternen Steuerungsfunktionen undihre Anforderungen nicht außer Achtlassen. So empfiehlt es sich unbe-dingt, das Risikomanagement auchunmittelbar mit dem Controlling zuverknüpfen und den Informations-fluss zwischen den beiden Diszipli-nen sicherzustellen.

Die Versicherungsunternehmen sindgut beraten, wenn sie die verbleiben-de Zeit bis zum Inkrafttreten von Sol-vency II zur konsequenten Ausrich-tung der IT auf die umfangreichenkommenden Risikoanforderungennutzen. Dabei hilft auch der Aufbauso genannter Risk Competence Cen-ters, in denen unterschiedliche Un-ternehmensbereiche die Risikopro-zesse gemeinsam hinterfragen, ge-stalten und vorantreiben.

Heftschwerpunkt Risikomanagement

Die Eigenkapitalausstattung der Fi-nanzdienstleistungsbranche sorgt seitJahren für Schlagzeilen. Zuletzt zwan-gen die aufsichtsrechtlichen Mindest-anforderungen an das Risikoma-nagement (MaRisk) die Institute zu umfangreichen Systemanpassun-gen. Nun stehen der Versicherungs-wirtschaft unter dem Schlagwort Sol-vency II weitere neue Vorschriften insHaus.

Dahinter stehen ambitionierte Ideenzur Modernisierung und Vereinheitli-chung in der europäischen Versiche-rungswirtschaft. Mit Solvency II ver-

folgt die EU bis 2012 mehrere Zielegleichzeitig:

– Europaweit einheitliche, prinzipien-basierte Regeln für die Finanz-marktstabilität bei Harmonisierungund Stärkung der Versicherungs-aufsicht,

– grundlegende Reform vor allem derSolvabilitätsanforderungen an dieVersicherungsunternehmen unter

Dr. Hubert Sterner* / Thomas Lengfeld**

Die Umsetzung von Solvency II erfor-dert neue Prozesse und IT-Lösungen

** Leiter Business Consulting Insurance, metafi-nanz Informationssysteme, München

** Senior Consultant/ Aktuar DAV bei meta-finanz

Zeitschrift für Versicherungswesen 10/2010 325

Berücksichtigung des Geschäftsmo-dells („doppelte Proportionalität“),

– wert- und risikoorientierte Entschei-dungsprozesse basierend auf einereinheitlichen, konsistenten und in-tegrierten IT-Architektur.

Die deutsche VersicherungsaufsichtBaFin hat den Anforderungen an einqualitatives Risikomanagement inGroßteilen bereits im Zuge der 9.VAG-Novelle und der MaRisk ver-bindlich für Versicherungsunterneh-men Rechnung getragen. Sowohl dasGesetz als auch das Rundschreibender BaFin haben Mindestanforderun-gen an ein Risikomanagementsys-tem zum Inhalt, die sich niederschla-gen in:

– einer Risikostrategie und einem Ri-sikotragfähigkeitskonzept,

– der Einrichtung einer unabhängi-gen Risikocontrolling-Funktion,

– dem Bedürfnis nach einer integrier-ten IT-Architektur,

– umfassenden Dokumentations- undBerichterstattungspflichten.

Weitere Korrelationen gibt es zumBeispiel zu IFRS, zum KonTraG, zumBilMoG, gegebenenfalls zu SOX undzu den GoBS.

Für die betroffenen Unternehmen er-zeugen besonders die Integration ak-tuarieller Modelle sowie die Konsoli-dierung von Datenhaushalten in ei-ner nachhaltigen IT-Architektur einenerheblichen Umstellungs- und Imple-mentierungsaufwand.

Die drei Säulen von Solvency II

Zu den in Säule 1 von den Versiche-rungsunternehmen zu bewertendenGrößen zählen die Marktwerte derAktiva und Passiva, das Solvency Ca-pital Requirement (SCR) und das Mi-nimum Capital Requirement (MCR)als regulatorische Mindestanforde-rung an die Eigenmittelausstattung.Ebenso gehört die Zuordnung derverfügbaren Eigenmittel zu drei Rän-gen (Tier 1 - 3) je nach Haftungsqua-lität (Kernkapital, Ergänzungskapitalund Drittrangmittel) zu dieser Säule.Der Eigenmittelbedarf kann mit einer

europaweit einheitlichen Standardfor-mel oder mittels eines von der Auf-sichtsbehörde zu zertifizierenden (parti-ellen) internen Modells erfolgen.

Die Säule 2 steht für alle qualitativenAnforderungen an die Versicherungs-unternehmen und die Aufsicht imRahmen des Supervisory ReviewProcess (SRP). Benötigt werden eineCorporate Governance, ein adäqua-tes Risikomanagement in einer ange-messenen Organisationsstruktur so-wie ein Internes Steuerungs- undKontrollsystem (ISKS). Dazu kom-men die Stärkung der internen Revi-sion und die Einrichtung einer permanenten Compliance-Funktionnach dem Grundsatz der doppeltenProportionalität. Im Rahmen einesOwn Risk and Solvency Assessment(ORSA) soll überprüft werden, ob dasquantitative Instrument zur Ermitt-lung des SCR gegenüber demtatsächlichen Risikoprofil des Unter-nehmens angemessen ist.

Transparenz, Veröffentlichung undBerichterstattung an die Aufsicht sind


Abbildung 1: Ökonomische Bilanz unter Solvency II und Zuordnung der Eigenmittel je nach Haftungsqualität


tragende Elemente der Säule 3. DieMarktteilnehmer sollen durch detail-lierte Informationen über Solvenzund Risiko zu mehr Disziplin angehal-ten werden.

Die besondere Herausforderung aneine nachhaltige IT-Architektur undein übergreifendes Datenmanage-ment über alle drei Säulen hinwegbesteht darin, die aktuariellen Re-chenmodelle, den zu implementie-renden Workflow und die regelmäßi-gen Reportinganforderungen zu ver-binden.

Herausforderungen für die Versicherungsunternehmen

Solvency II wird je nach Unterneh-mensgröße umfangreiche Anstren-gungen und Kapazitäten und teilsmehrjährige Projekte erfordern. Einhoher Prozentsatz der umzusetzen-den Richtlinien steht fest. Die sichzum Beispiel durch QIS 5 ergebendenModifikationen sind flexibel in dasProjekt einzuarbeiten. Ein Fahrplansollte vorsehen, wie bis Ende 2012

folgende Ziele erreicht werden kön-nen:

– Anfängliche Festlegung der Projekt-ziele mit Hilfe einer GAP-Analyseund flexible Anpassung an neue An-forderungen,

– Ausbau der bestehenden Gover-nance hinsichtlich Risikostrategieund -tragfähigkeit, angemessenerAufbau- und Ablauforganisation,Risiko-Assessment und Revisionsowie eines Internen Steuerungs-und Kontrollsystems,

– Aufsetzen von Prozessen, die nötigsind, um die aufsichtsrechtlichenAnforderungen zu erfüllen, Integra-tion in das bestehende Prozessma-nagement und Veränderungsmana-gement bei der Unternehmensreor-ganisation,

– Ausbau des Risikomanagementsbei Implementierung eines Modellszur Berechnung des Solvenzkapi-tals, Own Risk and Solvency Assess-ment, Einhaltung der Use-Test-Kri-terien und Schaffung der Basis fürdas geforderte interne und externeReporting,

– Modernisierung des Daten- und IT-Managements bei Integration dererforderlichen Systeme in einenachhaltige, moderne IT-Architek-tur und Bereitstellung von Daten inder benötigten Qualität, Quantitätund Granularität.

Die Einführungsprojekte und der dar-auf folgende Regelbetrieb unter Sol-vency II erfordern Investitionen in dieFähigkeiten der Mitarbeiter. Eventu-ell werden zusätzliche Kräfte vor al-lem für Aktuariat, Risikomanage-ment/-controlling, Revision, Compli-ance und IT gebraucht.

Architektonische Anforderungenan eine zukunftssichere IT-Landschaft

Die MaRisk verlangen den Versiche-rern im deutschen Markt schon jetzteine bestimmte Qualität von Daten-haltung, Datensicherheit, Archivie-rung, Dokumentation, Prozessen undOrganisation im IT-Bereich ab. Idea-lerweise ist damit bereits ein Stückauf dem Weg zu einer unter Solvency


Abbildung 2: Sowohl Investitionen in Säule 1 als auch in Säule 2 (Steuerungs- und Kontrollinstrumente) beeinflussen die Höhe des zu stellenden Solvenzkapitals


II benötigten IT-Architektur zurückge-legt.

Dennoch besteht erheblicher Investi-tionsbedarf, um die über die qualitati-ven MaRisk hinausgehenden Anfor-derungen zu erfüllen. Da die IT unddas Datenhandling bereits existenzi-elle Kernkompetenzen eines Versi-cherers darstellen, konzentrieren sichdie Unternehmen stark auf aktuariel-le Werkzeuge und deren Input. Es be-steht aber die große Chance, die IT-Prozesse und -Organisation umfas-send zu überprüfen und zu erneuern.Ziel muss eine einheitliche Architek-tur sein, die auf angemessener, voll-ständiger und richtiger Datenbasisnicht nur dem Risikomanagementgerecht wird, sondern im Sinne einerwert- und risikoorientierten Steue-rung auch die Bedürfnisse der opera-tiven Einheiten erfüllt.

Moderne Business-Intelligence-Werk-zeuge unterstützen die Bilanzierung,die Planung, das interne Reporting,Erfolgs- und Wertrechnungen (EVA,RoRAC, MCEV), die Risikoberichter-stattung und Ad-hoc-Analysen. Vor-

aussetzung ist eine weitreichendeStandardisierung, Automatisierungund Professionalisierung und damiteine nachhaltige Industrialisierung.Eine Daten-Policy regelt die benötig-ten Standards.

Bereits auf der Ebene der operativenQuellsysteme ist auf Integrität, Ver-fügbarkeit, Stabilität, Historien-führung und Glaubwürdigkeit derDaten zu achten. Regelmäßiges Mo-nitoring, Prozesse zum Umgang mitDatenfehlern, Gewährleistung derDatensicherheit, Dokumentation desDatenmodells, Abbau der System-vielfalt und Automatisierung derSchnittstellen sind Erfolgsgaranten.Bei ausgelagerter Datenverarbeitungzum Beispiel im Investmentbereichist die Aufsicht mit dem neuen Regel-werk befugt und angehalten, auchden Outsourcing-Partner im Rahmendes Supervisory Review Process wieein Versicherungsunternehmen zuprüfen.

Werden dezentrale Datentöpfe wieein Insurance Data Warehouse oderein Investmentdatenpool aus exter-

nen Quellen oder gar per Experten-meinung angereichert, ist auf Einhal-tung von Policies zu achten. Diese beschreiben den Datenermittlungs-prozess, die Rollen und Verantwor-tungen, die benutzten Modelle, dieDatenquellen und den Valuierungs-und Sign-off-Prozess.

Das Modell zur Berechnung desbenötigten Solvenzkapitals greift imIdealfall auf die Ergebnisse dezentralverwendeter, meist aktuarieller Mo-delle zurück (Use Test). So wird ge-währleistet, dass die beispielsweisefür das Reserving, das Pricing, die Be-rechnung eines MCEV oder die Er-mittlung des Rückversicherungsbe-darfs qualitätsgesicherten Daten undVerfahren wieder verwendet werdenkönnen.

Die zur Modellierung benutzten Toolssind in der Regel marktgängige, ak-tuariell dokumentierte Insellösungenfür einen eingegrenzten Anwen-dungsbereich (Reserving, Pricing,NatCat-Modellierung, ALM). Für eineIntegration in die IT-Landschaft einesUnternehmens ist ein besonderer


Abbildung 3: Beispiel eines Fahrplans für die Implementierung der für Solvency II nötigen Projektinhalte


Aufwand nötig. Sowohl die Modell-Plattformen als auch die kaum auto-matisiert bedienbaren Schnittstellenstehen im Kontrast zur angestrebtenIndustrialisierung in der IT.

Revisionssicherheit, Historienführungund Reproduzierbarkeit der Ergeb-nisse sind nur mit umfangreicherKapselung sicherzustellen. Das ak-tuarielle Wissen in den Modellen istaufgrund seiner Komplexität undfachlichen Tiefe meist nicht für alleZielgruppen verständlich und nach-vollziehbar zu beschreiben. Qualitäts-und Kredibilitätsprüfungen sindmangels geeigneter Referenzsyste-me für den gleichen Modellierungs-zweck nur eingeschränkt möglich.Software-Updates und technischeKalibrierungen der Modelle werdenoft nicht von der IT-Abteilung, son-dern vom aktuariellen Personal aus-geführt. Diese Verbindung zwischenaktuarieller Spezialsoftware und interner IT-Architektur ist für die Versi-cherungsunternehmen und ihre Revi-soren, Wirtschaftsprüfer und Auf-sichtsbehörden eine sehr anspruchs-volle Aufgabe.

Die Ergebnisse der dezentralen Mo-delle, aber auch die verwendetenRohdaten sind in einem zentralenRisk-Datawarehouse zu sichern. Spä-testens auf dieser Ebene müssen dieDaten konsistent, vollständig, adä-quat und redundanzfrei vorliegen.Die Kredibilität ist aufgrund der pro-duktiven Verwendung der Modellebereits gegeben, ebenso die ausrei-chende Granularität und die stochas-tische Auswertbarkeit der Daten. Do-kumentation, Historienführung, Auf-bau- und Updateprozesse nebstMonitoring sind auch für diesen Da-tenpool zu gewährleisten.

Auf das Risk-Datawarehouse setzenWerkzeuge, Modelle, Methoden zurBerechnung, Aggregation und Allo-kation des Risikopotenzials auf Basisder Risikoklassen, der Lines of Busi-ness, der Vertriebswege und der Le-gal Entities auf. Verbreitet sind markt-gängige Standalone-Lösungen fürein qualitatives Risikomanagementmit pseudoquantitativen Ansätzen,Risikokapitalberechungstools für Le-ben/Kranken und Sach sowie Aggre-gations- und Allokationssoftware.

Um vom Thema IT-Governance imZuge der Einführung von Solvency IInicht überrascht zu werden, ist eineBestandsaufnahme der IT-Land-schaft, der Werkzeuge und Systeme,der Richtlinien und Standards essen-ziell. Eine GAP-Analyse, eventuell un-terstützt durch einen Fragenkatalogder Revision oder des Wirtschaftsprü-fers, deckt die Mängel im Datenma-nagement, den Prozess- und Organi-sationsstrukturen, den Kontrollsyste-men auf und zeigt damit, in welchemGrad die Compliance-Anforderungenerfüllt sind.

IT-Unterstützung für neuartigeaktuarielle Fragestellungen

Die in der Solvency-II-Bilanz benötig-ten, auch für Zukunftsszenarien öko-nomisch bewerteten Daten sindmeist nicht aus versicherungstechni-schen Datenpools extrahierbar. DieAktuare in Produktentwicklung, Re-serving, Kapitalanlagemanagementoder Risikocontrolling der Versiche-rungsunternehmen müssen dahermit Hilfe der IT viele neue Fragen be-antworten, vor allem, wenn ein inter-


Abbildung 4: Modell einer modernen IT-Architektur fokussiert auf die Unterstützung des Risikomanagements


nes Modell zur Anwendung kommt.Zentrale Themen aktuarieller Experti-sen sind:

– Simulation von Asset- und Liabiliy-Cashflows unter Berücksichtigungvon Zins, Stornoentwicklung, Infla-tion und der Änderung biometri-scher Risiken,

– Modellierung von Schadenvertei-lungen für Groß- und Katastro-phenrisiken auf statistisch ausrei-chender Datenbasis gegebenen-falls mit Software-Insellösungen,

– Modellierung mathematisch geeig-neter Aggregationsverfahren unddatenbasierter Allokationsverfah-ren zwecks verursachungsgerech-ter, quantitativer Zuordnung von Ri-siken,

– Schneidung der Lines of Business,Produktentwicklung, Asset-Steue-rung, optimierter Einsatz von Rück-versicherung, Produktprofitabilitäts-rechnungen unter Berücksichtigungvon allokiertem Solvenzkapital,

– Entwicklung IT-unterstützter Limit-systeme für das Underwriting unddie Kapitalanlage.

Immense Bedeutung bei der Beant-wortung aktuarieller Fragen kommtder IT-Unterstützung zu.

Wettbewerbsvorteile und Zukunftsfähigkeit

Eine frühzeitige Integration eines(partiellen) internen Modells schafftWettbewerbsvorteile und führt zu ei-nem Reputationsgewinn. Zusammenmit dem Grad der Umsetzung einesEnterprise Risk Management (ERM)wird sich dieser in einem besserenexternen Rating niederschlagen.

Eine industrialisierte Verwaltung derDatenhaushalte und eine technischeImplementierung der Rechenmodel-le ermöglicht durch Simulationen dieunternehmensspezifische Optimie-rung des SCR zum Beispiel durch aktives Kapitalanlage-Managementmittels Umschichtung des Asset-Port-folios auf andere Anlageklassen. Ka-pitalanlageentscheidungen könnenmittels eines IT-gestützten internen

Modells zielgerichtet auf Risikomini-mierung und Verringerung des Eigen-mitteleinsatzes überdacht und getrof-fen werden.

Automatisierte Risikomessung und -steuerung auf Basis einer rundumund nachhaltig modernisierten IT-Landschaft macht das Unternehmenzukunftsfähiger. Es trägt zum wirt-schaftlichen Erfolg eines Versiche-

rungsunternehmens bei, wenn essein Eigenkapital sowohl bei den Ka-pitalanlagen als auch in der Versiche-rungstechnik optimiert einsetzt undVerluste, die sich aus überraschen-den Risiken ergeben können, vermei-det.

Die Konformität mit den EU-Vor-schriften führt über ein umfassendesIT-Projekt.


Die stetig steigenden Ansprüche derEndkunden hinsichtlich Qualität, Ver-fügbarkeit und Preis bei gleichzeitig an-steigendem internationalen Wettbe-werbsdruck haben viele Unternehmendazu veranlasst, ihre Supply Chains zuoptimieren. Heutzutage wird dieserWettbewerb nicht mehr nur zwischeneinzelnen Unternehmen, sondern zwi-schen ganzen Wertschöpfungsnetz-werken ausgetragen. Die stetige Effizi-enzsteigerung innerhalb dieser Wert-schöpfungsnetzwerke durch.

– „Global Sourcing“, – Minimierung der Lagerbestände, – Zentralisierung von Produktions-

und Distributionsstandorten,– höhere Kapazitätsausleistung, – gesteigerte Durchlaufzeiten, – Outsourcing von Wertschöpfungs-

bestandteilen und – Lieferantenkonzentration

hat bei vielen Unternehmen oberstePriorität. Es gilt, Kosten zu senkenund gleichzeitig den Kundenservicezu optimieren. Diverse Schadenfällein den letzten Jahren haben jedochgezeigt, dass die einseitige Fokussie-rung auf Effizienzsteigerung eben

nicht nur die Produktivität der Unter-nehmen, sondern auch die Verwund-barkeit ihrer Supply Chains erhöht.

Ein nachhaltiges Supply-Chain-(Risi-ko-)Management muss also Effizienzund Belastbarkeit in Einklang bringenund ist somit als Chancen- und Risi-komanagement zu verstehen. Denn:Ist die Supply Chain infolge einerStörung erst einmal unterbrochen,kann oftmals nicht mehr produziertwerden. Bei längeren Unterbrechun-gen ist häufig auch die Lieferfähigkeitgefährdet. Im schlimmsten Fall –wenn etwa die Produktionskapazitä-ten nachhaltig zerstört worden sind –drohen gravierende Kundenverlustean Mitbewerber und in Folge unterUmständen die Insolvenz.

Wie wichtig Supply-Chain-Risikoma-nagement ist, bestätigt eine Umfrageder Aberdeen Group

1unter Supply-

Chain-Executives von 180 globalagierenden Unternehmen. 80% derBefragten gaben an, in den letzten

Hendrik Löffler*/Nikolaus Sühr**

Supply-Chain-Risikomanagement

Wenn die Lieferkette eines Unternehmens unterbrochen ist, kann das

schnell auch den Betriebsablauf stilllegen und damit dramatische finanzi-

elle Folgen haben: Denn während die Kosten fortlaufen, fallen die Ge-

winne weg. Um vorbeugend entgegensteuern zu können, müssen Risiko-

potenziale in der Lieferkette frühzeitig erkannt werden - hierfür ist eine

detaillierte Betriebsunterbrechungs-Analyse erforderlich.

**Geschäftsführer Funk RMCE **Nikolaus Sühr, Junior Consultant, Funk RMCE1 Aberdeen Group (2005): The Supply Chain

Risk Management Benchmark Report, Boston