STUDIE 2019 EINBLICK IN DIE PRAXIS DER DREI ... · Decaux & Sarens, 2015). — Das Modell vermittelt eine Scheinsicherheit, weil so viele Funktionen für Risikomanagement zuständig

STUDIE 2019EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN

2 I MAZARS & ZHAW

STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN

MAZARS & ZHAW I 3

VORWORT

Eine Untersuchung der konkreten Aus ge staltung der drei Verteidigungslinien, deren Etablierung innerhalb der Ver si che rungs unternehmen und die dabei gemachten Erfahrungen mit dem Modell, fehlt aller dings in der Schweiz bislang.

Hier setzt die vorliegende Studie an und untersucht das Modell der drei Verteidi gungslinien bei Schweizer Versi- che rungs unternehmen. Insbesondere wur den fol gen de Aspekte untersucht:

— Nutzen des Modells

— Voraussetzungen und Umsetzungsstand

— Aufgabenspektrum und Umfang der Kontrollbereiche

— Herausforderungen der Umsetzung

— Aktuelle Trends

Die vorliegende Studie schlüsselt die Resultate sowohl nach Aufsichtskatego rie, als auch nach den Segmenten Lebens- und Sachversicherer, Rückversicherer und Krankenversicherer, auf. Die Ergebnisse der Studie liefern wertvolle Erkenntnisse zur operativen Umsetzung des Mo-dells der drei Verteidigungslinien und zu sei ner Einbettung sowie Anwendung in Ver si cherungs unternehmen.

Für die Studie wurden 12 Experten in per sönlichen Interviews und 35 Versiche rungsunternehmen mittels standardisiertem Fragebogen zum Nutzen des Modells der drei Verteidigungslinien, dessen Im ple men tierung und den bisherigen Erfah run gen befragt. Wir danken allen Betei lig ten für ihre Mitwirkung und sind über zeugt, dass die vorliegenden Aussa gen und Ver glei che aufschluss-reiche Einsichten für die Weiter entwicklung des Modells der drei Verteidi gungslinien bieten.

Wir wünschen Ihnen viel Spass und interessante Erkenntnisse bei der Lektüre.

Die Autoren


Das Modell der drei Verteidigungslinien (Three-Lines-of-Defense) ist bei vielen Steuerungsansätzen in der Versicherungs industrie ein integraler Bestandteil, der bei zahlreichen Unternehmen im Grund satz implemen tiert wurde und sich so seit Jahren bewährt hat. Aus einer regulatorischen Sicht verweist die FINMA im Erläute rungs bericht zum Rund schrei ben 2017/2 «Corporate Governance – Versicherer» explizit auf das Modell der drei Verteidigungslinien als Ansatz zur Definition der Rollen und Verant wort lichkeiten und der Einbettung der Risiko- und Kontrolleinheiten in ein ganzheitliches Governance-System (FINMA, 2016).

4 I MAZARS & ZHAW


MANAGEMENT SUMMARY

Die aus den Expertengesprächen und der standardisierten Befragung gewonnenen Erkenntnisse zeigen eine hohe Zustimmung zum grundsätzlichen Nutzen des Modells sowie ein einheitliches Bild zu aktuellen Trends. Das Modell leistet einen wichtigen Beitrag zur Förderung der Bedeutung und ganzheitlichen Umsetzung der Risiko mana ge ment ziele. Während ein weit gehender Konsens bezüglich der groben Struktur der drei Linien besteht, zeigen die Resultate aufgeschlüsselt nach Geschäfts segmenten und Auf sichts kate go rien wesentli che Unterschiede in der Einschätzung der Herausfor derungen und in der operativen Umsetzung.

Die grössten Herausforderungen werden im konsis ten ten Verständnis von Wesent lichkeit und Risiko, unter schiedli-chen Bewertungsmethoden oder Grund lagen so wie Doppel- spurig keiten und Redun dan zen gesehen. Für Lebens- und Sach ver sicherer ist die Nutzung verschie dener (IT-) Syste-me sehr herausfordernd. Demgegenüber beschäftigt Rück-ver sicherer eher, Klarheit bezüglich der Verantwortung nicht-finanzieller Risiken zu schaffen. Als wichtigste Voraussetzung für eine erfolgreiche Umsetzung des Modells wird, wie auch in der Literatur der «Tone at the top» gesehen, gefolgt vom konsistenten Verständnis von Wesent- lichkeit und Risiko, einheitlichen Bewer tungskriterien sowie dem «Tone at the middle».

Wie erwartet nimmt die Risikomanage ment- Funktion

den Grossteil der Risiko- und Kontrolltätigkeiten wahr. Die

meis ten Überschneidungen ergeben sich zwischen Risiko-

management und Compliance. Deutliche Unterschiede im

Aufgaben spektrum von Risikomanagement, Com pliance,

Interner Revision und externen Dienstleis tern zeigen sich

im Vergleich der Geschäftsfelder und Aufsichtskatego rien.

Bei grossen Unternehmen fällt das im Vergleich breite Auf-

ga ben spektrum der Compliance auf. Bei der Differenzierung

nach Geschäftsfeld wird deutlich, dass bei den Kranken ver -

siche rern einzelne Auf gaben ausschliesslich vom Risiko -

ma na ge ment wahr ge nom men werden und die Interne

Revision ein im Vergleich breiteres Aufgabenspektrum wahr-

nimmt. Kleine und mittelgrosse Rückversicherer gaben eher

an, Kontroll aufgaben an externe Dienstleister auszu lagern.

Bezüglich Ressourcen hat sich gezeigt, dass sich die Ver tei-

lung auf die einzelnen Funktionen vor allem im Bereich Compliance unterscheidet.

Generell wenden grosse Un ternehmen mehr perso nelle Ressourcen als kleine re Versicherungsunternehmen auf. Die hohe Zustimmung zu mehreren Trends zeigt, dass die operative Umsetzung des Modells Schweizer Versicherer beschäftigt. Viel Wert legen die Befragten auf die Reduk- tion der Komplexität und einen verstärkten Fokus auf Wesentlichkeit. Unsicherheit besteht in der Definition und Umsetzung der Unabhängig keit. Die bessere Integration der Berichterstattung und der Kontrolltätigkeiten ist vor allem ein Thema bei grösse ren Rück-, Lebens- und Sachversicherern.

Die Erkenntnisse lassen erwarten, dass sich das Aufgaben - spektrum sowie die organi satorische Einbettung der Kon troll f unktionen weiter wandeln wird. Es lassen sich vier Handlungsfelder ableiten. Versicherer sollten die Rollen, Kompetenzen und Verantwortlichkeiten der Kontroll-funk tionen bewusster und klarer definieren, sowie die Einhaltung der Unabhängigkeit und gleichzeitig die Effek-tivität der Zusammenarbeit regel mässig hinter fragen. Dabei gilt es, der Einfachheit und Verständlich keit des Modells als gröss tem Nutzen, sowie der Rolle der Risiko-eigner als wichti g ste Vertei di gungslinie, Sorge zu tragen.

Als Ausgangspunkt der Überlegungen bietet sich eine be reichsübergreifende Diskussion und Definition der we sent lichen Risiken und der ver wen deten Methoden an. Als Leitlinie gilt das übergeordnete Ziel einer risiko orien-tierten Unter nehmensführung, die in einem dyna mischen Marktumfeld proaktiv und nachhaltig zum Erfolg des Unter - nehmens beiträgt und sich nicht in der Rolle der reaktiven Kontrolle begrenzt.

MAZARS & ZHAW I 5

6 I MAZARS & ZHAW


MAZARS & ZHAW I 7

INHALTSVERZEICHNIS

Vorwort 3

Management Summary 4

Inhaltsverzeichnis 7

Hintergrund 8

Das Modell der drei Verteidigungs linien 8

Kritik am Modell 9

Schweizer Aufsichtspraxis 10

Das Modell in der Bericht erstattung der Schweizer Versicherer 10

Design und Ergebnisse der Studie 12

Nutzen des Modells 12

Umsetzungsstand und Voraussetzungen 14

Aufgabenspektrum der Kontroll funktionen 20

Aktuelle Trends 27

Ausblick und Handlungsfelder 30

Interviewpartner 31

Verweise 32

Autoren 33

8 I MAZARS & ZHAW


HINTERGRUND

Lehren aus der Finanzkrise und steigende Ansprüche an die Unternehmenssteuerung haben qualitative und organisatorische Aspekte des Risikomanagements von Finanz instituten vermehrt in den Fokus gerückt. Die Etablierung einer adäquaten Organi sa tions struk-tur sowie der Kontroll funktionen Risiko management, Compliance und Interne Revision standen dabei im Mit tel punkt. Damit ein Governance-System die gewünschte Funktionsfähigkeit erreicht, müssen Finanz institute sicherstellen, dass sich die Kontroll-funktionen laufend mit Informationen austauschen und eng zusammenarbeiten (Zinnöcker, 2017). Das «Modell der drei Verteidigungslinien» erlang te durch die Publikation des Institute of Inter nal Auditors (IIA, 2013)1 weitgehende Anerkennung und hat sich inter na tional als Konzept für die organisatorische Einbettung der Kontroll funktionen, sowie die Interak-tion der ver schie denen operativen Einheiten, etabliert.

DAS MODELL DER DREI VERTEIDIGUNGS LINIENIn diesem Kapitel wird die generelle Struktur des Modells der drei Verteidigungslinien bei Versicherern kurz skizziert. Das Modell bildet ab, welche Rolle die Kontrollfunktionen Risikomanagement, Compliance und Interne Revision im Governance-System einnehmen. Unter Solvency II wird der Begriff Schlüssel funktio nen verwen det, welcher auch die Funktion des verant wort li chen Aktuars umfasst. Mit Funktion ist dabei nicht eine Person oder Abteilung gemeint, sondern die Kapazität des Versicherers, die ent sprechenden Aufga ben wahr zu nehmen. Wichtig ist, dass die ver schiedenen Auf ga ben der Kontrollfunktionen objektiv und unabhängig erfüllt wer-den können (FINMA RS 2017/ 02). Hierzu werden drei «Ver-teidigungslinien» gebildet (Ab bildung 1). Die klare Aufgaben-zuteilung soll sicher stellen, dass alle Risiken effektiv und effizient identifiziert und gehandhabt werden. Verwal tungsrat und Geschäfts leitung sind die primären Stakehol der dieses ursprünglich intern ausgerichteten Modells. Die erste Verteidigungslinie bildet die operativen Ein heiten ab.

VERWALTUNGSRATRisikopolitik und Risikostrategie inklusive Risikoappetit und -toleranz

GESCHÄFTSLEITUNGUmsetzung der Risikostrategie

Berichtet über Risikoangelegenheiten

Direkter Zugang

ERSTE VERTEIDIGUNGSLINIERisikoeigner, operative Einheiten

(Business)

AUFGABEN

Laufende Identifikation, Beurteilung und Steuerung von (neuen) Risiken im Tagesgeschäft

Durchführung von Kontrollaktivitäten zur Einhaltung des Risikoappetits

Identifikation und Eskalation von Prozess- und Kontrollschwächen

Beitrag zur Weiterentwicklung von Richtlinien und Verfahren

ZWEITE VERTEIDIGUNGSLINIERisikomanagement und -prozesse

(Standards)

AUFGABEN

Etablierung des ganzheitlichen Risiko- und Kontrollrahmenwerks

Erfassung und Beurteilung der Gesamtrisikosituation und von aufkommenden Risiken

Überwachung der Einhaltung von rechtlichen Regelungen

Überwachung der Angemessenheit von Prozessen und Methoden

Koordination der Berichterstattung über die Gesamtrisikolage

DRITTE VERTEIDIGUNGSLINIEInterne Revision

(Assurance)

AUFGABEN

Regelmässige, unabhängige Überwachung und Beurteilung der Angemessenheit und Wirksamkeit der Risikomanagement-, Governance- und Kontrollprozesse sowie des Zusammenspiels der Verteidigungslinien

Abbildung 1: Das Modell der drei Verteidigungslinien (eigene Darstellung in Anlehnung an IIA, 2013)

1 Eine aktualisierte Publikation des IIA wird für 2020 erwartet.

MAZARS & ZHAW I 9

Sie zeichnen die Risiken gemäss Risiko appetit und ver wal - ten diese im Rahmen der Geschäfts tätig keit auf operativer Ebene. Hierzu gehört die Identifikation und Überwachung der Risiken und die Implementierung von Steuerungsmass-nahmen. Der ersten Linie kommt daher eine sehr wichtige, duale Rolle zu, indem sie Risiken eingeht und gleichzeitig laufend beurteilt und überwacht.

Der verantwortliche Aktuar unterstützt die Geschäfts-leitung durch seine Beurteilung technischer Aspekte; er steht damit, wie die Geschäftsleitung als Ganzes, ausserhalb der drei Verteidigungslinien. Der verant wort-liche Aktuar erstellt jährlich einen Bericht zuhanden der Geschäftsleitung, in dem neben der Beurteilung auch Massnahmen zur Behebung erkannter Unzulänglichkeiten, für die durch ihn abzudeckenden Themen, einfliessen.

Die Funktionen Risikomanagement sowie Compliance bilden die zweite Verteidigungslinie. Sie verantwortet die Etablierung des Risikomanagement-Rahmenwerks, der Prozesse und des Kontrollsystems. Sie koordiniert die regelmässige und ad-hoc Risikoberichterstattung an das Management und oft auch direkt an den Verwal-tungsrat. Sie überwacht die Organisation und Funktions-fähigkeit der ersten Verteidigungslinie und überprüft die Einhaltung von Gesetzen, Weisungen und Regeln.

Die dritte Verteidigungslinie umfasst die interne Revision, welche die Effektivität und Effizienz der Kontroll mass-nahmen und des Risikomanagement prozesses sowie die Zusammenarbeit der Verteidigungslinien beurteilt und als unabhängige Instanz direkt dem Verwaltungsrat berichtet.

KRITIK AM MODELLWährend ein weitgehender Konsens bezüglich der groben Struktur der drei Linien besteht, gibt es doch wesentliche Unterschiede in der operativen Umsetzung (Davies & Zhivitskaya, 2018). Aktuelle Kritik und Diskus sionen in Wissenschaft und Praxis im Finanzbereich umfassen unter anderem folgende Themenbereiche:

— Das Modell ist zu restriktiv und limitiert, es wer den eher reaktive «Verteidigungsaktivitä ten» als ein proaktiver Ansatz gefördert (vgl. The Institute of Internal Auditors, 2019).

— Die vorgegebenen Strukturen sind zu rigide und bergen die Gefahr, Silos zu kreieren (vgl. IIA, 2019). Das Modell nimmt zu wenig Rücksicht darauf, dass unterschiedliche Risiken, insbesondere nicht-finan - zielle Risiken, unterschiedliche Ansätze erfordern (vgl. Decaux & Sarens, 2015).

— Das Modell vermittelt eine Scheinsicherheit, weil so viele Funktionen für Risikomanagement zuständig sind, dass sich letztlich niemand wirklich verant-wortlich fühlt (vgl. Davies & Zhivitskaya, 2018).

— Dem Umstand, dass die erste Verteidigungslinie die wichtigste Rolle in der Umsetzung des Risiko-appetits einnimmt, muss mehr Nachdruck verliehen werden (Davies & Zhivitskaya, 2018).

— Klärungsbedarf hat des Weiteren der Interessen skonflikt der ersten Linie, gleichzeitig Rendite- und Risiko-ziele umsetzen zu müssen (Arndorfer & Minto, 2015).

— Unklar, respektive zu definieren, ist das Aufgabenspektrum der zweiten Linie, die einerseits unabhängig, aber dennoch in enger Zusammen arbeit mit der ers-ten Linie operieren soll (Arndorfer & Minto, 2015; COSO & IIA, 2015; Davies & Zhivitskaya, 2018; Sweeting, 2017).

— Sind Erfahrung, Wissen und interne Stellung von Mit-arbeitenden in der ersten Linie besser als in der zwei-ten Linie, kann dies dazu führen, dass die zweite Linie nur behandelt, was sich die erste Linie entscheidet zu zeigen oder zu diskutieren (Arndorfer & Minto, 2015; Davies & Zhivitskaya, 2018).

— Externe Prüfer und Regulatoren sollen als vierte Verteidigungslinie im Modell hinzugefügt werden (Arndorfer & Minto, 2015), um deren ergänzende Rolle hervorzuheben.

Damit verbundene Fragestellungen beschäftigen auch die Schweizer Versicherungsindustrie, wo sich das Modell der drei Verteidigungslinien seit vielen Jahren etabliert hat.

10 I MAZARS & ZHAW


2 Von 176 analysierten Berichten stammten 50 Berichte von Niederlassungen ausländischer Gesellschaften, welche bei der weiteren Analyse keine Berücksichtigung fanden.

Abbildung 2: Erwähnung des Modells der drei Verteidigungslinien im Bericht über die Finanzlage (ohne Zweigniederlassungen, n=126)

2 1 1010 8

201718

40

KEINE EXPLIZITE NENNUNG

Kranken-versicherung

Rück-versicherung

Lebens- / Sach-versicherung

NENNUNG DES MODELLSNENNUNG UND AUSFÜHRLICHE BESCHREIBUNG DES MODELLS

0

10

20

30

40

50

60

70

80

SCHWEIZER AUFSICHTSPRAXISIn den sogenannten Vor-Ort-Kontrollen, welche durch die Aufsicht durchgeführt werden, werden häufig die allgemei-nen Corporate Governance Prinizipien des FINMA-Rund-schrei bens 17/2 auf deren Angemessenheit untersucht und beurteilt. Dabei wird insbesondere untersucht, ob die Kontrollfunktio nen unabhängig, deren Aufgaben, Kompeten-zen und Verant wor tungen und die Risikomana gement- und Compliance-Prozes se ausreichend und klar definiert sind und kontinu ier lich umgesetzt werden. Des Weiteren wird die Ausge staltung des Aufgaben spektrums der zweiten Linie hinsichtlich Beurteilung der Angemessen heit und Wirk sam - keit des Risikomanagementsystems und internes Kontroll- system oft diskutiert.

DAS MODELL IN DER BERICHT ERSTATTUNG DER SCHWEIZER VERSICHERER Um einen Eindruck zu gewinnen, inwieweit das Modell der drei Verteidigungslinien in die Berichterstattung von Schweizer Versicherungsunternehmen bereits Einzug gehalten hat, wurden 126 Berichte zur Finanz - lage (Geschäfts jahr 2018) analysiert.2 Innerhalb der analysierten Berichte haben 51 Versiche rungs unter-nehmen explizit auf das Modell der drei Verteidi gungs - linien verwiesen.

Die Auswertung zeigt, dass insgesamt 40.5 % der unter-suchten Unternehmen im Bericht zur Finanzlage Bezug zum Modell der drei Verteidi gungs linien nehmen. 10.3 % beschreiben die Umsetzung des Modells, was in der Ab - bildung 2 als ausführliche Beschreibung gewertet wurde. Während die Berichterstattung kein Indiz für die Wichtigkeit oder den Um setzungsstand im Unternehmen darstellt, so ist sie doch ein Hinweis auf die Relevanz, welche der Kommu nikation des Modells der drei Verteidi gungs li nien als Ansatz zur ganzheitlichen Umsetzung des Governance- Systems zuge sprochen wird. Die Verteilung ist weitge hend unabhängig vom Versicherungssegment.

MAZARS & ZHAW I 11

12 I MAZARS & ZHAW


Insgesamt haben 35 Versicherungsunternehmen an der Online Befragung teilgenommen, haupt sächlich Verant-wortliche der zweiten Vertei di gungs linie (Abbildung 6). Der Fragebogen stand in Deutsch, Französisch und Englisch zur Verfügung. Die befragten Untenehmen lassen sich anhand ihrer Geschäftstätigkeit in Lebens- und Sachver - si cherer, Rückversicherer und Krankenversicherer katego - risieren (Abbildung 4).

Prozentangaben beziehen sich immer auf die Gesamtzahl der Antworten, die bei der jeweiligen Frage abgegeben wurden. Wurden die Antworten zu mehreren Fragen zu einem Indikator aggregiert, wurde dazu das arithmetische Mittel benutzt. Eine Abweichung der addierten Antworten von 100 % resultiert durch eine Rundung der Antworten auf ganze Zahlen.

Die Studienteilnehmer lassen sich den FINMA-Aufsichts-kategorien 2 bis 5 zuordnen (Abbildung 5). Die Kategorie dient im Rahmen dieser Studie als Indikator für die Unter-nehmensgrösse, wobei Kategorie 2 grossen und Kategorie 5 kleineren Unternehmen entspricht. Im Rahmen dieser Studie wurden die Kategorien 4 und 5 zusammenge fasst und gemeinsam ausgewertet, da nur wenige Unternehm-en der Kategorie 5 teilgenommen haben.

Die insgesamt 35 befragten Unternehmensvertreter lassen sich primär den Funktionen qualitatives Risikomanagement / Interne Kontrolle und Finanzen / Rechnungswesen zuordnen.

Unter Berücksichtigung von ausgeübten Doppelfunk tionen verschiebt sich die Gewichtung in Richtung qualitatives Risiko management / Interne Kontrolle und Legal / Com pli a nce (Abbildung 6). Andere bezeichnen überwiegend Funktionen im Management (CEO), welche sich keiner der Funktionen zuordnen lassen.

«Das Modell ist nützlich, da es bekannt ist,

man kann sich darauf beziehen.»

NUTZEN DES MODELLSDen grössten Nutzen des Modells der drei Verteidi gungs-linien sehen die befragten Unternehmen in der Verdeut-lichung der Wichtigkeit der Risiko- und Kontrollfunktionen für das Unternehmen und in einer ganzheitlicheren Um- setzung von Risikomanagement (Abbildung 7). Dies wird von jeweils 83 % der befragten Unternehmen als (sehr) wichtig beurteilt. Den geringsten Nutzen messen die Unternehmen der Organisation der Berichterstattung an verschiedene Adressaten bei. Auf Nachfrage gaben die Unternehmen an, dass die jeweiligen Berichte ohne-hin erstellt werden und dabei grösstenteils auf einen gemeinsamen Informationspool zurückgegriffen wird.

Abbildung 3: Methodisches Vorgehen

QUANTITATIVE BEFRAGUNG STUDIEQUALITATIVE

BEFRAGUNGDESK RESEARCH

DESIGN UND ERGEBNISSE DER STUDIE

Die Methodik der vorliegenden Studie basiert auf einer Kombination von quantitativer und qualitativer Befragung (Abbildung 3). Die quantitative Befragung mittels Online-Survey fand zwischen dem 22. August und dem 30. Sep tember 2019 statt. Gleichzeitig haben die Autoren mit 12 Vertretern der zweiten und dritten Verteidigungs linie verschiedener Versicherungsgesellschaften ein Exper ten gespräch geführt (vgl. Interviewpartner S.31). Aussagen aus diesen Gesprächen finden sich als Zitate hervorgehoben und im Text integriert. Die Aussagen der Interviewpartner wurden anonymisiert und möglichst wortgetreu transkribiert. Wir bedanken uns bei allen, die mit ihrer Teilnahme an der Befragung und an den Gesprächen zu dieser Studie beigetragen haben.

MAZARS & ZHAW I 13

Abbildung 7: Der grösste Nutzen des Modells der drei Verteidigungslinien wird gesehen in … (n=35)

0 20 40 60 80 100

… der Förderung der Einhaltung von Gesetz, Weisungen und Regeln

9 % 11 % 31 % 49 %

… der Verdeutlichung der Wichtigkeit der Risiko- und Kontrollfunktionen für das Unternehmen

11 % 6 % 43 % 40 %

… einer ganzheitlichen Umsetzung von Risikomanagement

3 % 3 % 11 % 34 % 49 %

… der Organisation der Berichterstattung an verschiedene Adressaten

3 % 8.5 % 20 % 23 % 37 % 8.5 %

… der Institutionalisierung einer Balance von Risiko- / Kontrolle- gegenüber Ertrag- / Rendite-

Tätigkeiten

6 % 3 % 17 % 17 % 26 % 31 %

… einer gemeinsamen Sprache3 % 3 % 9 % 23 % 37 % 26 %

… der Einfachheit und Verständlichkeit des Konzepts3 % 14 % 17 % 34 % 31 %

… der Qualitätssicherung3 % 9 % 20 % 46 % 23 %

… der Koordination der Zuständigkeiten und Verantwortlichkeiten

3 % 11 % 14 % 46 % 26 %

STIMME ZUSTIMME EHER ZUWEDER NOCHSTIMME EHER NICHT ZUSTIMME NICHT ZU WEISS NICHT / NICHT BEURTEILBAR

Abbildung 6: In welcher Funktion sind Sie für Ihr Unternehmen tätig? (Mehrfachauswahl, n=35)

QUALITATIVES RISIKOMANAGEMENT / INTERNE KONTROLLE

FINANZEN / RECHNUNGSWESEN INTERNE REVISION

5 %

7 %

17 %17 %

31 %24 %

ANDEREAKTUARIAT / QUANTITATIVES RISIKOMANAGEMENT

LEGAL / COMPLIANCE

Abbildung 4: Welches Geschäft betreibt Ihr Unternehmen? (n=35)

KRANKENVERSICHERUNGRÜCKVERSICHERUNGLEBENS- / SACHVERSICHERUNG

29 % 31 %

40 %

Abbildung 5: Welcher Aufsichtskategorie ist Ihr Unternehmen zugeteilt? (n=35)

37 %

KATEGORIE 2

KATEGORIEN 4 & 5KATEGORIE 3

49 %

14 %

14 I MAZARS & ZHAW


Aufgeteilt nach Geschäftsbereichen ergeben sich gering-fügig unterschiedliche Beurteilungen (Abbildung 8). Lediglich der Einfachheit und Verständlichkeit des Konzepts messen die Rückversicherer nicht denselben Nutzen bei wie Kranken-, Lebens- und Sachversicherer.

Eine deutlich differenziertere Beurteilung ergibt die Analyse der Ergebnisse nach Unternehmensgrösse (Abbildung 9). Kleinere Unternehmen messen der Einfachheit und Verständ - lichkeit des Konzepts eine geringere Bedeutung zu, wohin-gegen grosse Unternehmen hier einen höheren Nutzen sehen.

UMSETZUNGSSTAND UND VORAUSSETZUNGENDas Modell der drei Verteidigungslinien ist seit vielen Jahren bei den Unternehmen etabliert. Dies bestätigten über 94 % der befragten Unternehmen (Abbildung 10). Auch die Interviews bestätigen, dass die Unternehmen das Modell als Teil des unternehmensweiten Risiko ma-nagements implementiert haben. Allerdings gibt das Modell lediglich die grobe Struktur vor, daher bestehen doch Unterschiede in der konkreten Umsetzung, insbe-sondere in der Ausgestaltung des Aufgabespektrums der zweiten Linie sowie der Beurteilung der Zusammen-arbeit der drei Linien. Dies zeigt sich in der Antwort, dass die Zusammenarbeit der drei Verteidigungslinien noch nicht bei allen Unternehmen regelmässig beurteilt wird.

Abbildung 8: Der grösste Nutzen nach Geschäftsfeld (nach Mittelwert) wird gesehen in ... (n=35)

… d

er O

rgan

isat

ion

der

Ber

icht

erst

attu

ngan

ver

schi

eden

e A

dres

sate

n

... d

er In

stitu

tiona

lisie

rung

ein

er B

alan

ce v

onR

isik

o- /

Kon

trol

le-

gege

nübe

r Er

trag

- /

Ren

dite

-Tät

igke

iten

… e

iner

gem

eins

amen

Spr

ache

… d

er E

infa

chhe

it un

d V

erst

ändl

ichk

eit d

es K

onze

pts

… d

er Q

ualit

ätss

iche

rung

… d

er K

oord

inat

ion

der

Zust

ändi

gkei

ten

und

Vera

ntw

ortl

ichk

eite

n

… d

er F

örde

rung

der

Ein

halt

ung

von

Ges

etz,

Wei

sung

en u

nd R

egel

n

… e

iner

gan

zhei

tlic

hen

Um

setz

ung

von

Ris

ikom

anag

emen

t

Stimmenicht zu

Stimme zu

KRANKENVERSICHERER RÜCKVERSICHERER LEBENS- / SACHVERSICHERER

Wedernoch

Wedernoch

… d

er V

erde

utlic

hung

der

Wic

htig

keit

der

Ris

iko-

und

Kon

trol

lfun

ktio

nen

für

das

Unt

erne

hmen

«Eine Reife kann angenommen werden, wenn die Risiko sicht explizit einge fordert wird

und kein lästiges Übel mehr darstellt.»

«Ob das Modell der drei Verteidigungs - linien wirklich gelebt wird, ist auch

eine Frage der Kultur.»

MAZARS & ZHAW I 15

Abbildung 9: Der grösste Nutzen nach Aufsichtskategorie (nach Mittelwert) wird gesehen in ... (n=35)

Stimmenicht zu

Stimme zu

… d

er O

rgan

isat

ion

der

Ber

icht

erst

attu

ngan

ver

schi

eden

e A

dres

sate

n

... d

er In

stitu

tiona

lisie

rung

ein

er B

alan

ce v

onR

isik

o- /

Kon

trol

le-

gege

nübe

r Er

trag

- /

Ren

dite

-Tät

igke

iten

… e

iner

gem

eins

amen

Spr

ache

… d

er E

infa

chhe

it un

d V

erst

ändl

ichk

eit d

es K

onze

pts

… d

er Q

ualit

ätss

iche

rung

… d

er K

oord

inat

ion

der

Zust

ändi

gkei

ten

und

Vera

ntw

ortl

ichk

eite

n

… d

er F

örde

rung

der

Ein

halt

ung

von

Ges

etz,

Wei

sung

en u

nd R

egel

n

… d

er V

erde

utlic

hung

der

Wic

htig

keit

der

Ris

iko-

und

Kon

trol

lfun

ktio

nen

für

das

Unt

erne

hmen

… e

iner

gan

zhei

tlic

hen

Um

setz

ung

von

Ris

ikom

anag

emen

t

Wedernoch

KATEGORIE 2 KATEGORIE 3 KATEGORIEN 4 & 5

Abbildung 10: Wie beurteilen Sie den Grad der Umsetzung des Modells der drei Verteidigungslinien innerhalb Ihres Unternehmens (n=35)?

0 20 40 60 80 100

Nebst einzelnen Kontrollen und Prozessen wird bei uns auch die Wirksamkeit der Zusammenarbeit

der drei Verteidigungslinien regelmässig beurteilt

6 % 14 % 20 % 34 % 26 %

Wir haben das Modell vollständig in Funktions-beschreibungen / Verantwortlichkeiten formalisiert

17 % 6 % 43 % 34 %

Fragen der Umsetzung beschäftigen uns regelmässig

17 % 3 % 40 % 40 %

Wir haben das Modell seit vielen Jahrenimplementiert

6 % 31 % 63 %

Das Modell ist im Bewusstsein aller drei Linien verankert und wird gelebt

14 % 6 % 49 % 31 %


16 I MAZARS & ZHAW


Abbildung 11: Welches sind die wichtigsten Voraussetzungen für eine erfolgreiche Umsetzung (n=35)?

0 20 40 60 80 100

Nutzung derselben Methoden über alle Funktionen und Bereiche hinweg

Tone at the middle (Vorbild und Überzeugtheit des mittleren Managements)

Konsistentes Verständnis von Wesentlichkeit und Risiko und einheitliche Bewertungskriterien

Tone at the top (Vorbild und Überzeugtheit der Geschäftsleitung

3 % 17 % 80 %

3 % 6 % 46 % 46 %

3 % 9 % 31 % 57 %

3 % 3 % 11 % 14 % 46 % 23 %

Schulungen / Informationsveranstaltungen zu Governance, Risikomanagement und Kontrolle

6 % 14 % 40 % 40 %

Maturität / Reifegrad des unternehmensweiten Risikomanagementsystems

9 % 6 % 43 % 43 %

Entwicklung eines gemeinsamen Vokabulars und einheitlicher Definitionen

6 % 9 % 49 % 37 %

Klare und aktuelle Beschreibung von Pflichten und Aufgaben der verschiedenen Funktionen

9 % 11 % 23 % 57 %

SEHR WICHTIGEHER WICHTIGWEDER NOCHEHER UNWICHTIGUNWICHTIG WEISS NICHT / NICHT BEURTEILBAR

Als wichtigste Voraussetzung für eine erfolgreiche Um set-zung des Modells sehen die befragten Unternehmen den Tone at the Top – die Vorbildfunktion und Überzeugtheit der Geschäftsleitung (Abbildung 11). Dies gaben rund 97 % der Unternehmen an. Auch die weiteren abgefragten Voraussetzungen werden von 80 % bis 91 % als wichtig bzw. sehr wichtig eingestuft. Als am wenigsten wichtig wird die Nutzung derselben Methoden über alle Funktionen und Bereiche hinweg beurteilt. Dies sahen nur rund 69 % als wichtig bzw. sehr wichtig an. Rück-, Lebens- und Sach-versicherer weisen dem konsistenten Verständnis von Wesent lichkeit und Risiko und einheitlichen Bewertungs-kriterien zudem einen höheren Stellenwert zu als Kranken-versicherer. Ebenso erachten die Krankenversicherer eine klare und aktuelle Beschreibung von Pflichten und Aufgaben der verschiedenen Funktionen als wichtiger wie Rück-, Lebens- und Sachversicherer. Schulungen und Informations ver anstaltungen zu Governance, Risiko-mana gement und Kontrolle beurteilen Lebens- und Sach-versicherer hingegen wichtiger als Kranken- und Rückversicherer.

Die Herausforderungen, welche sich in Bezug zur Im ple-men tierung des Modells der drei Verteidigungslinien stellen, werden von den Unternehmen unterschiedlich beurteilt. Abbildung 12 gibt einen Überblick über alle befragten Unter-nehmen. Als grösste Herausforderung sehen über 77 % der Unternehmen das konsistente Verständnis von Wesent-lichkeit und Risiko sowie unterschiedliche Bewertungsme-thoden oder Grundlagen in unterschiedlichen Bereichen / Risikoarten. Doppelspurigkeiten, Redundanzen und deren Reduktion sind ein grosses Thema. Ansehen und Autorität der Kontrollfunktionen und die (informelle) Delegation von Verantwortung an die Kontrollfunktionen bilden demge gen- über die geringsten Herausforderungen.

MAZARS & ZHAW I 17

Abbildung 12: Herausforderungen in Bezug zur Implementierung des Modells der drei Verteidigungslinien (n=35)


0 20 40 60 80 100

(Informelle) Delegation von Verantwortung an die Kontrollfunktionen

11 % 6 % 26 % 17 % 26 % 14 %

Ansehen und Autorität der Kontrollfunktionen3 % 9 % 29 % 17 % 20 % 23 %

Parallele Strukturen für Geschäft und Rechtseinheit14 % 6 % 17 % 20 % 14 % 29 %

Informationsaustausch zwischen den Verteidigungslinien

6 % 3 % 31 % 11 % 31 % 17 %

Überprüfung der Wirksamkeit der Zusammenarbeit der drei Linien

9 % 3 % 23 % 14 % 34 % 17 %

Fachkompetenz / Erfahrung in den Kontrollfunktionen

6 % 9 % 23 % 11 % 26 % 26 %

Interessenskonflikte aufgrund unterschiedlicher Zielsetzungen in den drei Verteidigungslinien

3 % 11 % 23 % 9 % 40 % 14 %

Klarheit der Verantwortlichkeiten in Bezug zum Risikomanagement nicht-finanzieller Risiken

3 % 6 % 20 % 11 % 37 % 23 %

Berichterstattung an verschiedene Adressaten zu unterschiedlichen Zeitpunkten

6 % 6 % 17 % 11 % 37 % 23 %

Nutzung verschiedener (IT-)Systeme für die Dokumentation der Risiko- und Kontroll-Tätigkeiten

und Ergebnisse

11 % 9 % 20 % 37 % 23 %

Silodenken in den verschiedenen Verteidigungslinien

23 % 14 % 26 % 37 %

Doppelspurigkeiten und Redundanzen bezüglich Kontrolltätigkeiten

3 % 3 % 20 % 3 % 40 % 31 %

Unterschiedliche Bewertungsmethoden oder Grundlagen in unterschiedlichen Bereichen

/ Risikoarten

6 % 11 % 6 % 54 % 23 %

Konsistentes Verständnis von Wesentlichkeit und Risiko

3 % 6 % 14 % 31 % 46 %

«Wir hatten viele Insel geschichten und bauten dann separate Tools.

Allerdings wirken viele Massnahmen übergreifend, sodass man dadurch viele Redundanzen und

Inkonsistenzen produziert.»

«Aufgrund der unterschied lichen IT-Systeme hat man auch ein unterschiedliches

Vokabular.»

«Die Absprache und Abstimmung zwischen den Assurance Funktionen ist eine

grosse Herausforderung.»

«Die erste Linie wurde in der Vergangenheit zu stark durch nicht koordinierte Assurance

Tätigkeiten belastet.»

18 I MAZARS & ZHAW


Bei Betrachtung der einzelnen Geschäftsfelder ergeben sich jedoch teilweise deutliche Unterschiede bei der Beur tei lung (Abbildung 13). Insbesondere die Nutzung verschiedener (IT-) Systeme für die Dokumentation der Risiko- und Kontroll- Tätig keiten und Ergebnisse erfährt eine unter schied liche Beurteilung von Kranken versiche rern und Lebens- / Sach-versicherern. Abweichend ist auch die Beurteilung der Klar-heit der Verantwor tung in Bezug zum Risikomanagement nicht-finanzieller Risiken. Dies wird von den Rückversi che - rern als grösste Heraus forderung eingestuft.

Die Analyse der Herausforderungen nach Aufsichts kate gorie zeigt, dass die (informelle) Delegation von Ver antwor tung an die Kontrollfunktionen am unterschied lichs ten von den Versicherern beurteilt wird (Ab bildung 14). Versiche rer der Kategorie 2 sehen hier keine Heraus for de rung, wohin gegen Versicherer der Kategorie 3 diese durchaus wahr neh men. Auffallend ist auch die unterschied liche Bewertung der Berichterstattung an verschie dene Adressaten zu unter-schiedlichen Zeitpunkten. Diese wird von Versicherern der Kategorie 3 als Herausforde rung einge stuft, wohingegen Versiche rer der Katego rie 2 keine besondere Herausforde-rung sehen. Kleine Versicherer stehen mit ihrer Beurtei lung jeweils dazwischen, so dass ein Rückschluss auf die Un ter - neh mens grösse nicht gezogen werden kann. Eine deutlich unterschiedliche Beurteilung er gibt sich auch bei den Fach- kompetenzen / Erfahrungen in den Kontrollfunk tionen. Hier sehen kleinere Versiche rungs unterneh men eine deutlich geringere Herausfor de rung als die grösseren Versiche rungs - unternehmen.

Abbildung 13: Herausforderungen in Bezug zur Implementierung des Modells der drei Verteidigungslinien nach Geschäftsfeld (nach Mittelwert, n=35)

Übe

rprü

fung

der

Wir

ksam

keit

der

Zus

amm

enar

beit

der

drei

Lin

ien

Inte

ress

ensk

onfl

ikte

auf

grun

d u

nter

schi

edlic

her

Ziel

setz

unge

n in

den

dre

i Ver

teid

igun

gslin

ien

Ber

icht

erst

attu

ng a

n ve

rsch

iede

ne A

dres

sate

n zu

unt

ersc

hied

liche

n Ze

itpun

kten

Kla

rhei

t der

Ver

antw

ortl

ichk

eite

n in

Bez

ug z

um R

isik

oman

agem

ent

nic

ht-fi

nanz

ielle

r R

isik

en

Nut

zung

ver

schi

eden

er (I

T-)S

yste

me

für

die

Dok

umen

tatio

n de

r R

isik

o- u

nd K

ontr

oll-

Tätig

keite

n un

d Er

gebn

isse

Silo

denk

en in

den

ver

schi

eden

en V

erte

idig

ungs

linie

n

Dop

pels

puri

gkei

ten

und

Red

unda

nzen

bezü

glic

h K

ontr

ollt

ätig

keite

n

Unt

ersc

hied

liche

Bew

ertu

ngsm

etho

den

ode

r G

rund

lage

n in

Unt

ersc

hied

liche

n B

erei

chen

/ R

isik

oart

en

Kon

sist

ente

s Ve

rstä

ndni

s vo

nW

esen

tlic

hkei

t und

Ris

iko

Stimmenicht zu

Stimme zu

Fach

kom

pete

nz /

Erf

ahru

ng in

den

Kon

trol

lfun

ktio

nen

Info

rmat

ions

aust

ausc

h zw

isch

en d

en V

erte

idig

ungs

linie

n

Par

alle

le S

truk

ture

n fü

r G

esch

äft u

nd R

echt

sein

heit

Ans

ehen

und

Aut

oritä

t der

Kon

trol

lfun

ktio

nen

(Info

rmel

le) D

eleg

atio

n vo

n Ve

rant

wor

tung

an

die

Kon

trol

lfun

ktio

nen

Wedernoch


MAZARS & ZHAW I 19

Abbildung 14: Herausforderungen in Bezug zur Implementierung des Modells der drei Verteidigungslinien nach Aufsichtskategorie (Mittelwert, n=35)

Stimmenicht zu

Stimme zu

Wedernoch

Übe

rprü

fung

der

Wir

ksam

keit

der

Zus

amm

enar

beit

der

drei

Lin

ien

Inte

ress

ensk

onfl

ikte

auf

grun

d u

nter

schi

edlic

her

Ziel

setz

unge

n in

den

dre

i Ver

teid

igun

gslin

ien

Ber

icht

erst

attu

ng a

n ve

rsch

iede

ne A

dres

sate

n zu

unt

ersc

hied

liche

n Ze

itpun

kten

Kla

rhei

t der

Ver

antw

ortl

ichk

eite

n in

Bez

ug z

um R

isik

oman

agem

ent

nic

ht-fi

nanz

ielle

r R

isik

en

Nut

zung

ver

schi

eden

er (I

T-)S

yste

me

für

die

Dok

umen

tatio

n de

r R

isik

o- u

nd K

ontr

oll-

Tätig

keite

n un

d Er

gebn

isse

Silo

denk

en in

den

ver

schi

eden

en V

erte

idig

ungs

linie

n

Dop

pels

puri

gkei

ten

und

Red

unda

nzen

bezü

glic

h K

ontr

ollt

ätig

keite

n

Unt

ersc

hied

liche

Bew

ertu

ngsm

etho

den

ode

r G

rund

lage

n in

Unt

ersc

hied

liche

n B

erei

chen

/ R

isik

oart

en

Kon

sist

ente

s Ve

rstä

ndni

s vo

nW

esen

tlic

hkei

t und

Ris

iko

Fach

kom

pete

nz /

Erf

ahru

ng in

den

Kon

trol

lfun

ktio

nen

Info

rmat

ions

aust

ausc

h zw

isch

en d

en V

erte

idig

ungs

linie

n

Par

alle

le S

truk

ture

n fü

r G

esch

äft u

nd R

echt

sein

heit

Ans

ehen

und

Aut

oritä

t der

Kon

trol

lfun

ktio

nen

(Info

rmel

le) D

eleg

atio

n vo

n Ve

rant

wor

tung

an

die

Kon

trol

lfun

ktio

nen

KATEGORIEN 4 & 5KATEGORIE 3 KATEGORIE 2

«Interne Revisoren müssen analytisch sehr gut sein, sowie eine investigative Denkweise

mitbringen. Darüber hinaus sollen diese ‹Super-Revisoren› dann auch noch

eine hohe Fachkompetenz mitbringen.»

«Falls die Fachkompetenz keine Herausforderung darstellt, ist man

wahrscheinlich zu wenig ambitioniert.»

20 I MAZARS & ZHAW


Abbildung 15: Abdeckung verschiedener Aufgaben durch Risikomanagement, Compliance, Interne Revision und externe Dienstleister (n=35)

91 91% 9188

94

60

31

85

54

6669

28

2023

20%

51%48

11% 11

3

26

96 6

11

17 17

3%

94

40

2323

60

66

14

48

40

14

8

14

34%

51

20

3%0

20

40

60

80

100

GESAMT

0%03

40

49

3437

1114

Einh

olen

von

ext

erne

n A

ssur

ance

Ber

icht

en (w

ie P

S 9

50 B

eric

ht, I

SA

E 30

00 R

epor

t, IS

AE

3402

Rep

ort,

US

SO

C R

epor

t)

Übe

rprü

fung

der

Ord

nung

smäs

sigk

eit

alle

r A

ktiv

itäte

n un

d P

roze

sse

Kon

trol

lprü

fung

(Tes

ting)

Kon

trol

ldur

chfü

hrun

g

Übe

rwac

hung

des

Ris

ikom

anag

emen

ts d

er e

rste

n Ve

rtei

digu

ngsl

inie

Übe

rprü

fung

der

Ein

halt

ung

von

Ges

etze

n, W

eisu

ngen

und

Reg

eln

Valid

ieru

ng v

on M

odel

len

Ber

atun

g de

r er

sten

Ver

teid

igun

gslin

ie b

ei R

isik

ofra

gen

Ber

atun

g de

s ob

erst

en O

rgan

s be

zügl

ich

Ris

iko-

/ R

endi

te-A

bwäg

unge

n

Ber

icht

erst

attu

ng ü

ber

die

Ris

ikol

age

Entw

ickl

ung

und

Defi

nitio

n vo

n R

isik

oind

ikat

oren

Entw

ickl

ung

und

Übe

rwac

hung

des

Ris

ikor

ahm

enw

erks

sow

ie d

er L

eitl

inie

n

Beu

rtei

lung

der

Wir

ksam

keit

und

Ang

emes

senh

eit d

es K

ontr

ollu

mfe

lds

Alle Angaben in Prozent

EXTERNE DIENSTLEISTER INTERNE REVISIONCOMPLIANCERISIKOMANAGEMENT

AUFGABENSPEKTRUM DER KONTROLL FUNKTIONENDer Grossteil der Risiko- und Kontrolltätigkeiten wird von der Risikomanagement-Funktion wahrgenommen (Ab bil-dung 15). Bei denjenigen Aufgaben, an denen das Risiko-management nicht federführend ist, ist es zumindest einge-bunden. Die Überprüfung der Einhaltung von Ge setzen, Weisungen und Regeln liegt, wie erwartet, in der Verantwor-tung der Compliance Funktion. Der Fokus der internen Revision liegt auf der Überprüfung der Ord nungs mässigkeit aller Aktivitäten und Prozesse, der Be urteilung der Wirksam-keit und Angemessenheit des Kontrollumfeldes, des Testings sowie der Überwachung des Risikomanagements der zwei-ten Linie. Diese Aufgaben werden mehrheitlich selbst und selten von externen Dienstleistern erfüllt.

Ergänzend gaben einige Befragte an, dass auch das Business Continuity Management sowie einzelne Risikoassessments und Erstellung von Risikoszenarien zu den Aufgaben des Risikomanagements gehören. Zu den weiteren Aufgaben der Compliance Funktion gehören auch Sensibilisierungen und Schulungen zu den jeweiligen Themen und Aufgaben. Darüber hinaus wurden, nebst den abgefragten, keine weiteren Aufga ben genannt. Nicht abgefragt wurde das Aufgabenspektrum der ersten Verteidigungs linie. Auffallend ist, dass Aufgaben wie beispielsweise Kontrollprüfung (Testing) oder die Berichterstattung über die Risikolage von mehreren Kontrollfunktionen wahrgenom men werden.

MAZARS & ZHAW I 21

Die insgesamt häufigsten Nennungen waren die Auf gaben «Berichterstattung über die Risikolage», «Beurteilung der Wirksamkeit und Angemessenheit des Kontrollumfeldes» sowie «Überwachung des Risikomanagements der ersten Verteidigungslinie».

Bei einer aggregierten Betrachtung aller genannten Aufgaben übernimmt das Risikomanagement bei allen Geschäftsfeldern die meisten Aufgabenarten (vgl. Abbildung 16). Unterschied lich ist das Spektrum von Compliance und Interner Revision. Bei den Kranken-ver sicherern hat die Interne Revision ein breiteres Auf-gabenspektrum als Compliance. Letztere nehmen im Vergleich bei Rück, Lebens- und Sachversicherern ein höheres Auf gaben spektrum wahr. Externe Dienstleister werden in diesem Zusammenhang am meisten von den Rückversicherern genutzt, machen jedoch nur einen geringen Anteil am gesamten Aufgabenspektrum aus.

Die Betrachtung nach Aufsichtskategorie zeigt, dass, über alle Kategorien hinweg, das Risikomanagement das grösste Aufgabenspektrum abdeckt (vgl. Abbildung 17). Bei grossen Unternehmen fällt das im Vergleich hohe Aufgabenspektrum der Com pliance auf. Auch bei kleine-ren Versicherern wird rund ein Viertel des abgefragten Aufgabenspektrums durch Compliance (mit-) abgedeckt. Bei Versicherern der Aufsichtskategorie 3 hat im Vergleich die Interne Revision ein grösseres Auf ga benspektrum als die Funktion Compliance. Externe Dienst leister wer-den am häufigsten von kleinen und mittel grossen Rück-versicherungsunternehmen in Anspruch genommen.

Abbildung 16: Anteil der Kontrollfunktionen am Aufgabenspektrum nach Geschäftsbereichen (n=35)

5 % 14 % 3 %

17 % 22 % 33 %

42 %47 % 52 %

26 % 17 %22 %

INTERNE REVISION

Kranken-versicherung

Rück-versicherung

Lebens- / Sach-versicherung

COMPLIANCERISIKOMANAGEMENTEXTERNE DIENSTLEISTER

0

20

40

60

80

100

Abbildung 17: Anteil der Kontrollfunktionen am Aufgabenspektrum nach Aufsichtskategorie (n=35)

Kategorie 2 Kategorie 3 Kategorien 4 & 5

0

20

40

60

80

100 4 %

35 % 19 % 27 %

44 %50 %43 %

17 %24 %

19 %

7 % 10 %

INTERNE REVISIONCOMPLIANCERISIKOMANAGEMENTEXTERNE DIENSTLEISTER

«Die ‹Ownership› für Risiken sollte nach wie vor formell wie auch kulturell in der ersten Linie liegen.»

«Hier könnte man wie im Formel 1-Geschäft anmerken, dass, trotz vieler Regeln und Aufseher, immer noch die

Fahrer die wichtigsten Entscheidungen treffen.»

22 I MAZARS & ZHAW


Bei der Differenzierung nach Geschäftsfeld ist auffallend, dass bei den Krankenversicherern einzelne Aufgaben aus-schliesslich vom Risikomanagement wahrge nommen wer-den (Abbildung 18). So beispielsweise die Entwick lung und Überwachung des Risikorahmenwerks sowie der Leit - linien. Des Weiteren zeigen die Rückmeldun gen der Teilneh-menden, dass die Interne Revision bei Kranken ver si cherern im Vergleich zu Rück-, Lebens- und Sachversicherern ein grösseres Aufgabenspektrum wahrnimmt. Bei den Rück-versicherungsunternehmen sticht die im Vergleich hohe Beteiligung von externen Dienstleistern im Vergleich zu

den anderen Gesellschaften ins Auge (Ab bil dungen 16 und 19). Mit jeweils über 40 % sind diese in die Validierung von Modellen und die Überprüf ung der Ord nungs mässigkeit aller Aktivitäten und Prozesse einge bunden. Auch das Einholen von unabhängigen Assu rance Berichten wird primär durch externe Dienst leister durchgeführt. Darüber hinaus ist das Aufgabenspektrum des Risikomanagements bei einigen Rückversicherern im Vergleich zu den Unternehmen anderer Sparten weniger breit. Eine mögli che Erklärung ist die verstärk te Tendenz, insbe sondere bei kleineren Rück versicherern, Auf gaben zu externalisieren.

Abbildung 18: Abdeckung verschiedener Aufgaben durch Risikomanagement, Compliance, Interne Revision und externe Dienstleister bei Krankenversicherer (n=10)

100 100

0 0

10

100

40

20

10

100

20

0

80

10 10

0

20

40

60

80

100

KRANKENVERSICHERER

50

0

10 10

30

100

60

10

90

70

0

50

20 20

0

70

60

10

70

0

80

10

40 40

60

0

20

40

1010

30

10

0 0 0

20

30

EXTERNE DIENSTLEISTER INTERNE REVISIONCOMPLIANCERISIKOMANAGEMENTEi

nhol

en v

on e

xter

nen

Ass

uran

ce B

eric

hten

(wie

PS

950

Ber

icht

, IS

AE

3000

Rep

ort,

ISA

E 34

02 R

epor

t, U

S S

OC

Rep

ort)

Übe

rprü

fung

der

Ord

nung

smäs

sigk

eit

alle

r A

ktiv

itäte

n un

d P

roze

sse

Kon

trol

lprü

fung

(Tes

ting)

Kon

trol

ldur

chfü

hrun

g

Übe

rwac

hung

des

Ris

ikom

anag

emen

ts d

er e

rste

n Ve

rtei

digu

ngsl

inie

Übe

rprü

fung

der

Ein

halt

ung

von

Ges

etze

n, W

eisu

ngen

und

Reg

eln

Valid

ieru

ng v

on M

odel

len

Ber

atun

g de

r er

sten

Ver

teid

igun

gslin

ie b

ei R

isik

ofra

gen

Ber

atun

g de

s ob

erst

en O

rgan

s be

zügl

ich

Ris

iko-

/ R

endi

te-A

bwäg

unge

n

Ber

icht

erst

attu

ng ü

ber

die

Ris

ikol

age

Entw

ickl

ung

und

Defi

nitio

n vo

n R

isik

oind

ikat

oren

Entw

ickl

ung

und

Übe

rwac

hung

des

Ris

ikor

ahm

enw

erks

sow

ie d

er L

eitl

inie

n

Beu

rtei

lung

der

Wir

ksam

keit

und

Ang

emes

senh

eit d

es K

ontr

ollu

mfe

lds


MAZARS & ZHAW I 23

Abbildung 19: Abdeckung verschiedener Aufgaben durch Risikomanagement, Compliance, Interne Revision und externe Dienstleister bei Rückversicherer (n=14)

79

29

21

7

86

21

79

36

29

14

86

43

7

0

93

14 14

0

20

40

60

80

100

RÜCKVERSICHERER

57

14

43

29

86

21

14

79

21

7

64

36

7 7

71

43 43

21

64

50

36

7

21

57

43

7

14

29

7 7

14 14

7

0 0

Einh

olen

von

ext

erne

n A

ssur

ance

Ber

icht

en (w

ie P

S 9

50 B

eric

ht, I

SA

E 30

00 R

epor

t, IS

AE

3402

Rep

ort,

US

SO

C R

epor

t)

Übe

rprü

fung

der

Ord

nung

smäs

sigk

eit

alle

r A

ktiv

itäte

n un

d P

roze

sse

Kon

trol

lprü

fung

(Tes

ting)

Kon

trol

ldur

chfü

hrun

g

Übe

rwac

hung

des

Ris

ikom

anag

emen

ts d

er e

rste

n Ve

rtei

digu

ngsl

inie

Übe

rprü

fung

der

Ein

halt

ung

von

Ges

etze

n, W

eisu

ngen

und

Reg

eln

Valid

ieru

ng v

on M

odel

len

Ber

atun

g de

r er

sten

Ver

teid

igun

gslin

ie b

ei R

isik

ofra

gen

Ber

atun

g de

s ob

erst

en O

rgan

s be

zügl

ich

Ris

iko-

/ R

endi

te-A

bwäg

unge

n

Ber

icht

erst

attu

ng ü

ber

die

Ris

ikol

age

Entw

ickl

ung

und

Defi

nitio

n vo

n R

isik

oind

ikat

oren

Entw

ickl

ung

und

Übe

rwac

hung

des

Ris

ikor

ahm

enw

erks

sow

ie d

er L

eitl

inie

n

Beu

rtei

lung

der

Wir

ksam

keit

und

Ang

emes

senh

eit d

es K

ontr

ollu

mfe

lds



«Natürlich findet die Beratung und Revision objektgetrennt statt.»

«Unter dem Deckmäntelchen der Unabhängigkeit alles zu isolieren und zu separieren,

ist weder effizient, noch effektiv.»

«Es besteht die Gefahr, dass die Assurance Funktionen gemäss Buchstabe ‹unabhängig› sind,

dann aber keine Erfahrungen sammeln können und den Bezug zur Geschäftsrealität verlieren.»

«Damit gute Risikoentscheide getroffen werden, sollten alle Perspektiven vertreten sein,

genau darin besteht ja der Balance-Mechanismus.»

24 I MAZARS & ZHAW


Bei den Lebens- und Sachversicherern ist der Bereich Compliance verglichen mit Kranken- und Rückversiche-rungen stärker in die verschiedenen Aufgaben einge bun -den (Abbildungen 16 und 20). Hier zeigt sich, dass es ins-besondere zwischen Risikomanagement und Compliance zu einer Überschneidung der Aufgaben berei che kommt. Externe Dienstleister werden nur in sehr geringem Umfang mit den abgefragten Aufgaben betraut.

Rund 37 % der befragten Unternehmen gaben an, dass sie neben den genannten Kontrollfunktionen noch weitere Stellen, welche Risiko- und Kontrolltätigkeiten ausüben, umgesetzt haben. Hier wurden unter anderem Controlling - funktionen, IT-Funktionen, Datenschutz beauf tragte und Governance Einheiten genannt. Ebenfalls genannt wurden in diesem Zusammenhang Personaleinheiten.

Abbildung 20: Abdeckung verschiedener Aufgaben durch Risikomanagement, Compliance, Interne Revision und externe Dienstleister bei Lebens- / Sachversicherer (n=11)

0

20

40

60

80

100

LEBENS- / SACHVERSICHERER

100 100

91 91

100 100

73

36

91 91

73

64

45

36

55

45

55

73

14%

36 36

82 82 82

64

73

27

36

55

18

45

64

18

27

55

0 0 0

9 9 9

18 18

9 9

0 0 0 0

9

0 0

9

Einh

olen

von

ext

erne

n A

ssur

ance

Ber

icht

en (w

ie P

S 9

50 B

eric

ht, I

SA

E 30

00 R

epor

t, IS

AE

3402

Rep

ort,

US

SO

C R

epor

t)

Übe

rprü

fung

der

Ord

nung

smäs

sigk

eit

alle

r A

ktiv

itäte

n un

d P

roze

sse

Kon

trol

lprü

fung

(Tes

ting)

Kon

trol

ldur

chfü

hrun

g

Übe

rwac

hung

des

Ris

ikom

anag

emen

ts d

er e

rste

n Ve

rtei

digu

ngsl

inie

Übe

rprü

fung

der

Ein

halt

ung

von

Ges

etze

n, W

eisu

ngen

und

Reg

eln

Valid

ieru

ng v

on M

odel

len

Ber

atun

g de

r er

sten

Ver

teid

igun

gslin

ie b

ei R

isik

ofra

gen

Ber

atun

g de

s ob

erst

en O

rgan

s be

zügl

ich

Ris

iko-

/ R

endi

te-A

bwäg

unge

n

Ber

icht

erst

attu

ng ü

ber

die

Ris

ikol

age

Entw

ickl

ung

und

Defi

nitio

n vo

n R

isik

oind

ikat

oren

Entw

ickl

ung

und

Übe

rwac

hung

des

Ris

ikor

ahm

enw

erks

sow

ie d

er L

eitl

inie

n

Beu

rtei

lung

der

Wir

ksam

keit

und

Ang

emes

senh

eit d

es K

ontr

ollu

mfe

lds



MAZARS & ZHAW I 25

Abbildung 21: Wichtigkeit der Aspekte zur Einhaltung der Unabhängigkeit der Kontrollfunktionen (n=35)


0 20 40 60 80 100

Direkter Zugang zum Verwaltungsrat (bspw. Beisitz, Termin einberufen können)

3 % 3 % 31 % 63 %

Direktes Reporting an den Verwaltungsrat (mind. 1x jährlich)

3 % 23 % 74 %

Sicherstellung des Zugangs zu Ressourcen undInformationen

3 % 3 % 17 % 77 %

Trennung der Verantwortlichkeiten aufGeschäftsleitungsebene in den Bereichen Accounting, Asset-Management sowie IT von Risikomanagement

und Compliance

6 % 6 % 40 % 49 %

Unabhängigkeit des variablen Gehalts vom Ergebnis des zu überwachenden Geschäftsbereichs

3 % 9 % 14 % 40 % 34 %

In den per sönlichen Interviews wurde deutlich, dass die Defini tion und Umsetzung der Unabhängigkeit der Kontrollfunk tio nen Anlass zu Fragen und Diskussion gibt. Nicht hinterfragt wird die Wichtigkeit der Thematik, wie auch die Online Befragung bestätigt (Abbildung 21). Unklar ist, welche sich als beste Umsetzungspraxis eta-blieren soll. Alle abgefragten Aspekte wurden von der

Mehrheit als wichtig eingestuft. Des Weiteren wurde die Möglichkeit des direkten Zugangs zu Entscheidungs-trägern auch ausserhalb des Verwal tungs rats genannt. Eine Auswertung der Ergebnisse nach Geschäfts feld oder Aufsichtskatego rie brachte nur minimal abweichende Ergebnisse.

26 I MAZARS & ZHAW


Abbildung 22: Anteil Vollzeitäquivalente in den jeweiligen Funktionen nach Aufsichtskategorie (n=5, 17, 13)

0 20 40 60 80 100 0 20 40 60 80 100 0 20 40 60 80 100

QualitativesRisikomanagement

und interne Kontrolle

QuantitativesRisikomanagement

und Aktuariat

Compliance

IT-Sicherheit / IT-Assurance

Interne Revision

MEHR ALS 106-104-52-30-1

KATEGORIE 2 KATEGORIE 3 KATEGORIEN 4 & 5

40 % 38 % 19 % 13 % 25 % 6 %

20 %

40 %

20 %

60 %

20 % 20 %

80 % 19 % 50 % 31 %

25 %

20 %

20 % 64 % 24 % 6 % 6 %

75 % 29 % 29 % 41 %

60 % 13 % 44 % 31 % 6 % 6 %

70 %

69 % 31 %

77 %

20 % 10 %

15 % 8 %

85 % 15 %

38 % 38 % 15 % 8 %

0 20 40 60 80 100 0 20 40 60 80 100 0 20 40 60 80 100

QualitativesRisikomanagement

und interne Kontrolle

QuantitativesRisikomanagement

und Aktuariat

Compliance

IT-Sicherheit / IT-Assurance

Interne Revision


22 % 82 % 18 %

50 %

50 %

20 %

40 %

32 %11 %

80 % 54 % 23 % 18 % 18 %23 %

30 % 20 %

44 %

10 % 93 % 7 %

50 % 71 % 29 %

50 % 46 % 38 % 15 %

20 %

27 % 36 %

27 %

20 % 20 %20 % 20 %

18 % 36 % 9 %9 %

20 %10 %30 % 30 %10 %

9 % 36 % 9 % 45 %

MEHR ALS 106-104-52-30-1

Abbildung 23: Anteil Vollzeitäquivalente in den jeweiligen Funktionen nach Geschäftsfeld (n=10, 14, 11)

Gefragt nach den Vollzeitäquivalenten in den jeweiligen Funktionen ergab sich kein einheitliches Bild. Die Ab -bil dungen 22 und 23 veranschaulichen die jeweiligen Angaben. In dieser Frage wurde auch nach Mitarbei ten den im Bereich IT-Sicherheit und IT-Assurance gefragt, die im Vergleich aber einen geringen Anteil einneh men. Bei Analyse nach Aufsichtskategorie zeigt sich, dass kleinere Versicherer tendenziell am wenigsten Mit ar bei ten de

im Bereich Compliance aufweisen und am meisten Mitarbeitende im Bereich quantitatives Risiko mana - ge ment und Aktuariat. Grosse Versicherer haben in diesem Kontrollbereich zusammen mit Complian ce am meisten Mitarbeitende beschäftigt. Bei Untersuchung der einzelnen Geschäftsfelder konnten in Abhängigkeit von der Mitarbeiterzahl keine Auffälligkeiten festgestellt werden.

MAZARS & ZHAW I 27

AKTUELLE TRENDSAus Branchensicht zeichnet sich bei der Nachfrage nach aktuellen Trends in Bezug zur Weiterentwicklung des Mo dells der drei Verteidigungslinien ein einheit liches Bild ab (Abbildung 24). Die Reduktion der Kom plexi tät und der verstärkte Fokus auf Wesentlichkeit werden mit jeweils 83 % als wichtig bzw. sehr wichtig beurteilt. Die Umsetzung von Massnahmen zur Sicherstellung der Unabhängigkeit, ein Anliegen der Aufsicht, wird von 63 % als wichtig wahrgenommen.

Abbildung 24: Die wichtigsten aktuellen Trends in Bezug zur Umsetzung des Modells der drei Verteidigungslinien (n=35)


0 20 40 60 80 100

20 %

Verstärkter Fokus auf Wesentlichkeit (bspw. Fokus auf Schlüsselkontrollen)

14 % 3 % 54 % 29 %

Direkte Berichterstattung der zweiten Linie an den Verwaltungsrat

11 % 3 % 26 % 37 % 23 %

Umsetzung von Massnahmen zur Sicherstellung der Unabhängigkeit der Kontrollfunktionen

11 % 11 % 14 % 47 % 17 %

Reduktion der Komplexität (bspw. Reduktion von unnötigen Kontrollen)

3 % 11 % 3 % 54 % 29 %

Vermehrte Beratungstätigkeit der dritten Linie14 % 14 % 17 % 34 % 17 % 4 %

Erhöhung der Ressourcen / des Budgets für Kontrolltätigkeiten

9 % 23 % 25 % 23 % 17 %

Klarere Trennung von Beratungs- und Kontrolltätigkeiten

9 % 14 % 31 % 26 % 17 %3 %

Vermehrte Beratungstätigkeit der zweiten Linie6 % 9 % 14 % 26 % 28 % 17 %

Aufbau von koordinierenden Funktionen (bspw. IT Governance, Zwischenlinien in den

Geschäftseinheiten)

9 % 3 % 17 % 14 % 37 %

Integriertes Reporting (gemeinsam, jedoch nicht abgestimmt)

3 % 6 % 20 % 14 % 34 % 23 %

Bessere Integration der verschiedenen Tätigkeiten3 % 3 % 14 % 14 % 43 % 23 %

3 %

«Die Geschäfts tätigkeit wird immer komplexer. Falls man beispielsweise mit Start-ups arbeitet,

muss man diese rechtzeitig ins Rahmenwerk einbinden.»

28 I MAZARS & ZHAW


Abbildung 25: Die wichtigsten aktuellen Trends in Bezug zur Umsetzung des Modells der drei Verteidigungslinien nach Geschäftsfeld (n=35)

Erhö

hung

der

Res

sour

cen

/ de

s B

udge

ts fü

r K

ontr

ollt

ätig

keite

n

Verm

ehrt

e B

erat

ungs

tätig

keit

der

zw

eite

n Li

nie

Inte

grie

rtes

Rep

ortin

g (g

emei

nsam

, je

doch

nic

ht a

bges

timm

t)

Auf

bau

von

koor

dini

eren

den

Funk

tione

n (b

spw

. IT

Gov

erna

nce,

Zw

isch

enlin

ien

inde

n G

esch

äfts

einh

eite

n)

Dir

ekte

Ber

icht

erst

attu

ng d

er z

wei

ten

Lin

ie a

n de

n Ve

rwal

tung

srat

Um

setz

ung

von

Mas

snah

men

zur

S

iche

rste

llung

der

Una

bhän

gigk

eit d

er K

ontr

ollf

unkt

ione

n

Bes

sere

Inte

grat

ion

der

ver

schi

eden

en T

ätig

keite

n

Red

uktio

n de

r K

ompl

exitä

t (bs

pw.

Red

uktio

n vo

n un

nötig

en K

ontr

olle

n)

Vers

tärk

ter

Foku

s au

f Wes

entl

ichk

eit

(bsp

w. F

okus

auf

Sch

lüss

elko

ntro

llen)

Stimmenicht zu

Stimme zu

Kla

rere

Tre

nnun

g vo

n B

erat

ungs

- un

d K

ontr

ollt

ätig

keite

n

Verm

ehrt

e B

erat

ungs

tätig

keit

der

dri

tten

Lin

ie


Wedernoch

Die abgefragten Trends werden von den Unternehmen unter Berücksichtigung des jeweiligen Geschäftsfeldes jedoch durchaus unterschiedlich beurteilt (Abbildung 25). So sehen Krankenversicherer in einem integrierten Reporting keinen aktuellen Trend, dies ist vor allem ein Thema bei Rück-, Lebens- und Sachversicherern. Analog, jedoch weniger deutlich ausgeprägt, entfällt die Beurteilung einer besseren Integration der verschiedenen Tätigkeiten. Umgekehrt ver-hält es sich bei der Beurteilung einer vermehrten Bera tungs - tätigkeit der dritten Linie. Hier erkennen Krankenversiche rer einen Trend, während dies bei Rück-, Lebens- und Sach- ver sicherern kein Thema ist.

«Wir wollen keine Kontroll- oder Massnahmen-leichen. Es geht uns um wesentliche Risiken, die wir rigoros mit adäquaten Kontrollen abdecken,

wir wollen keine Alibi-Kontrollen.»

«Eine Konsolidierung aller gängigen Tools wäre ein grosses Bedürfnis.»

«Wir beobachten, dass das Testing als Anforderung oder Best Practice ein Trend ist.»

MAZARS & ZHAW I 29

Abbildung 26: Die wichtigsten aktuellen Trends in Bezug zur Umsetzung des Modells der drei Verteidigungslinien nach Aufsichtskategorie (n=35)

Eine differenzierte Betrachtung ergibt sich auch bei Analyse der Trends nach Aufsichtskategorie (Abbildung 26). Hier beurteilen Unternehmen der Kategorie 2 die bessere Inte- gration der verschiedenen Tätigkeiten als deutlich wichtiger wie die anderen befragten Unternehmen. Umgekehrt geben sie der Trennung von Beratungs- und Kontroll tätig keiten weniger Gewicht.

KATEGORIEN 4 & 5KATEGORIE 3 KATEGORIE 2

Erhö

hung

der

Res

sour

cen

/ de

s B

udge

ts fü

r K

ontr

ollt

ätig

keite

n

Verm

ehrt

e B

erat

ungs

tätig

keit

der

zw

eite

n Li

nie

Inte

grie

rtes

Rep

ortin

g (g

emei

nsam

, je

doch

nic

ht a

bges

timm

t)

Auf

bau

von

koor

dini

eren

den

Funk

tione

n (b

spw

. IT

Gov

erna

nce,

Zw

isch

enlin

ien

inde

n G

esch

äfts

einh

eite

n)

Dir

ekte

Ber

icht

erst

attu

ng d

er z

wei

ten

Lin

ie a

n de

n Ve

rwal

tung

srat

Um

setz

ung

von

Mas

snah

men

zur

S

iche

rste

llung

der

Una

bhän

gigk

eit d

er K

ontr

ollf

unkt

ione

n

Bes

sere

Inte

grat

ion

der

ver

schi

eden

en T

ätig

keite

n

Red

uktio

n de

r K

ompl

exitä

t (bs

pw.

Red

uktio

n vo

n un

nötig

en K

ontr

olle

n)

Vers

tärk

ter

Foku

s au

f Wes

entl

ichk

eit

(bsp

w. F

okus

auf

Sch

lüss

elko

ntro

llen)

Kla

rere

Tre

nnun

g vo

n B

erat

ungs

- un

d K

ontr

ollt

ätig

keite

n

Verm

ehrt

e B

erat

ungs

tätig

keit

der

dri

tten

Lin

ie

Stimmenicht zu

Stimme zu

Wedernoch

30 I MAZARS & ZHAW


DIE VIER HANDLUNGSFELDER

1. Die Aufgaben der Kontrollfunktionen befinden sich im Wandel. Das Modell gibt dabei nur eine grobe Struktur vor. Versicherer sind angehalten, die organisatorische Einbettung der Kontrollfunktionen und deren Rollen, Kompe - tenzen und Verantwortlichkeiten bewusst klar zu definieren und zu kommunizieren. Eine Best Practice zeichnet sich zurzeit noch nicht ab, vielmehr sollten Versicherer eine ihrem Unternehmen ensprechende Organisation wählen, welche die übergeordneten Ziele der Unternehmens steuerung und Kontrolle optimal umsetzt.

2. In diesem Zusammenhang stellt sich auch die Frage nach der Anforderung an die Unabhängigkeit der Kontroll - funktionen. Die Studienteilnehmer anerkennen die Wichtigkeit von organisatorischen Massnahmen. Auch die Aufsicht misst der Unabhängigkeit der Kontroll funktionen einen hohen Stellenwert bei. Eine gemäss Papier zu rigide und formale Umsetzung der Unabhängig keitsanforderung birgt jedoch die Gefahr, den Sinn und Zweck des Modells zu untergraben. Die Zusammenarbeit der drei Linien ist essentiell und eine Beurteilung der Effek - ti vität sollte periodisch analysiert werden.

3. Der Einfachheit und Verständlichkeit des Modells als wichtigstem Nutzen, sowie der Rolle der Risikoeigner als wichtigste Verteidigungslinie, muss Sorge getragen werden. Dass vor diesem Hintergrund als wichtigste aktuelle Trends der Fokus auf Wesentlichkeit, die Reduktion der Komplexität sowie die bessere Inte gra tion der Kontrolltätigkeiten genannt werden, ist als positiv zu werten. Eine Fokussierung kann durch eine bereichs- übergreifende Diskussion und Definition der wesentlichen Bereiche gefördert werden.

4. Neue Risiken, alternative Geschäftsmodelle und Koope rationen, sowie verhaltens- oder kontextab hängige Versicherungslösungen, verändern zurzeit die Versiche rungs industrie. Das Modell sollte so umgesetzt werden, dass es einen optimalen Beitrag leistet zur Kultur und operativen Umsetzung einer risikoorientier ten Unter nehmens führung, die proaktiv und nachhaltig zum Erfolg des Unternehmens beiträgt und sich nicht in der Rolle der reaktiven Kontrolle begrenzt.

AUSBLICK UND HANDLUNGSFELDER

Schweizer Versicherer haben das Modell der drei Verteidigungslinien seit vielen Jahren etabliert. Die Zustimmung zum grund sätz lichen Nutzen des Modells ist gross, insbesondere leistet das Modell einen wichtigen Beitrag zur Förderung der Wichtigkeit und ganzheitlichen Umsetzung der Risikomanagementziele. Grössere Unternehmen sehen des Weiteren einen deutlichen Nutzen in der Institutionalisierung einer Balance von Risiko- / Kontrolle- gegenüber Ertrag / Rendite-Tätigkeiten. Letzteres entspricht auch dem Kernziel des Risikomanage - ments eines Versiche rungs unternehmens. Die in der Literatur geäusserte Kritik der Scheinsicherheit oder schwächere Stellung der zweiten gegenüber der ersten Linie scheint keine oder nur eine untergeordnete Rolle zu spielen.

MAZARS & ZHAW I 31

INTERVIEWPARTNER

Victor JansLeiter Interne RevisionCSS Versicherung, Luzern

Yvonne KaniowskaHead of Risk GovernanceBaloise Group, Basel

Stefan KönigStv. Leiter Qualitatives Risk ManagementHelvetia, St. Gallen

Dr. Jan KüpferHead Governance, Security & Compliance (Schweiz)Swiss Life, Zürich

Matthias KussRisk GovernanceAXA Schweiz, Winterthur

Bernd LangerHead of Operational Risk ManagementSCOR Switzerland, Zürich

Stephan MohrHead Internal AuditAllianz Suisse, Wallisellen

Sebastian PichlerChief Risk OfficerAllianz Suisse, Wallisellen

Stéphane ProginLeiter AssuranceCSS Versicherung, Luzern

Dr. Dominic RauHead Risk Governance & SteeringSwiss Re Management Ltd, Zürich

Simon SchneiderHead Internal AuditHelvetia, St. Gallen

Amal TeyebSenior Risk ManagerSwiss Re Management Ltd, Zürich

32 I MAZARS & ZHAW


VERWEISE

Arndorfer, I. & Minto, A. (2015).The «four lines od defence model» for financial institutions. FSI Occasional Paper No 11. Basel: Bank for International Settlements. https://www.bis.org/fsi/fsipapers11.pdf

COSO, The Committee of Sponsoring Organizations of the Treadway Commission and IIA, The Institute of Internal Auditors (2015). Leveraging COSO across the three lines of defense. https://www.coso.org/Documents/COSO-2015-3LOD.pdf

Davies, H., & Zhivitskaya, M. (2018). Three Lines of Defence: A Robust Organising Framework, or Just Lines in the Sand? Global Policy, 9 (June), 34–42. https://doi.org/10.1111/1758-5899.12568

Decaux, L. & Sarens, G. (2015). Implementing combined assurance: insights from multiple case studies. Managerial Auditing Journal, 30 (1), 59–79. https://doi.org/10.1108/MAJ-08-2014-1074

FINMA (2016). Rundschreiben 2017/2 Corporate Governance – Versicherer. https://www.finma.ch/de/~/media/finma/ dokumente/dokumentencenter/myfinma/ rundschreiben/finma-rs-2017-02.pdf?la=de

FINMA (2016). Rundschreiben zur Versicherungsaufsicht. Erläuterungsbericht. https://www.finma.ch/de/news/2016/05/20160531- mm-versicherungsaufsicht/

Sweeting, P. (2017). Financial Enterprise Risk Management. Cambridge University Press.

The Institute of Internal Auditors (2019). Three lines of defense. https://na.theiia.org/about-ia/PublicDocuments/ 3LOD-IIA-Exposure-Document.pdf

The Institute of Internal Auditors (2013). The three lines of defense in effective risk management and control. https://www.theiia.org/3-lines-defense

Zinnöcker, L. E.M. (2017). Corporate Governance für Versicherungen in der Schweiz – Ein Konzept zur internen Ausgestaltung und Umsetzung (Dissertation). Universität St. Gallen.

https://www.bis.org/fsi/fsipapers11.pdf

https://www.coso.org/Documents/COSO-2015-3LOD.pdf

https://doi.org/10.1111/1758-5899.12568

https://doi.org/10.1108/MAJ-08-2014-1074

https://www.finma.ch/de/~/media/finma/dokumente/dokumentencenter/myfinma/rundschreiben/finma-rs-2017-02.pdf?la=de



https://www.finma.ch/de/news/2016/05/20160531-mm-versicherungsaufsicht/

https://www.finma.ch/de/news/2016/05/20160531-mm-versicherungsaufsicht/

https://na.theiia.org/about-ia/PublicDocuments/3LOD-IIA-Exposure-Document.pdf

https://na.theiia.org/about-ia/PublicDocuments/3LOD-IIA-Exposure-Document.pdf

https://www.theiia.org/3-lines-defense

MAZARS & ZHAW I 33

AUTOREN

Angela Zeier RöschmannDr. oec. HSGDozentin und stellvertretende Leiterin des Zentrums für Risk & InsuranceZHAW School of Management and Law

Sebastian BarthM.A. HSGWissenschaftlicher Mitarbeiter am Zentrum für Risk & InsuranceZHAW School of Management and Law

Denise WipfDiplomierte Wirtschaftsprüferin und Leiterin des Bereichs Versicherung bei Mazars Schweiz

Fabienne MeienbergerDiplomierte WirtschaftsprüferinMazars Schweiz

Das Zentrum für Risk & Insurance (ZRI) ist das Kompetenzzentrum der ZHAW School of Management and Law für ökonomische und sozialwissenschaftliche Fragen im Bereich der Versicherungs-wirtschaft. Mit seinen Tätigkeiten in Aus- und Weiterbildung trägt es zur professionellen Qualifizierung von Fachleuten der Ver-sicherungsbranche bei. Als kompetenter Partner in Forschung und Beratung arbeitet es eng mit verschiedenen in- und aus- ländischen Institutionen zusammen.

Mazars ist eine internationale, integrierte und unabhängige Organisation, die auf Wirtschaftsprüfung, Buchhaltung, Steuer-, Rechts- und Beratungsdienstleistungen spezialisiert ist. Das Unternehmen beschäftigt mehr als 40.000 Mitarbeiter in 86 Ländern. Zu den Kunden gehören internationale Konzerne, KMUs, private Investoren sowie öffentliche Institutionen. Das Team von Mazars in der Schweiz besteht aus über 250 Experten in Bern, Zürich, Genf, Lausanne, Neuenburg, Freiburg, Delsberg und Sion. Mazars gehört in der Schweiz zu den Prüfgesellschaften, die über sämtliche Zulassungen der Eidgenössischen Revisionsaufsichtsbehörde RAB verfügt.

34 I MAZARS & ZHAW


HERAUSGEBER

ZHAW School of Management and LawZentrum für Risk & InsuranceTechnoparkstrasse 2Postfach8401 WinterthurSchweiz

Mazars AGHerostrasse 128048 Zürich

KONTAKT

Angela Zeier Rö[email protected]

Denise [email protected]

Digitale Exemplare der Studie:www.zhaw.ch/zri

Copyright © 2019 ZHAW School of Management and Law und Mazars AGNovember 2019

Abdruck – auch auszugsweise – ist unter Angabe der Quelle erwünscht.