Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
STUDIE 2019EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN
2 I MAZARS & ZHAW
STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN
MAZARS & ZHAW I 3
VORWORT
Eine Untersuchung der konkreten Aus ge staltung der drei Verteidigungslinien, deren Etablierung innerhalb der Ver si che rungs unternehmen und die dabei gemachten Erfahrungen mit dem Modell, fehlt aller dings in der Schweiz bislang.
Hier setzt die vorliegende Studie an und untersucht das Modell der drei Verteidi gungslinien bei Schweizer Versi- che rungs unternehmen. Insbesondere wur den fol gen de Aspekte untersucht:
— Nutzen des Modells
— Voraussetzungen und Umsetzungsstand
— Aufgabenspektrum und Umfang der Kontrollbereiche
— Herausforderungen der Umsetzung
— Aktuelle Trends
Die vorliegende Studie schlüsselt die Resultate sowohl nach Aufsichtskatego rie, als auch nach den Segmenten Lebens- und Sachversicherer, Rückversicherer und Krankenversicherer, auf. Die Ergebnisse der Studie liefern wertvolle Erkenntnisse zur operativen Umsetzung des Mo-dells der drei Verteidigungslinien und zu sei ner Einbettung sowie Anwendung in Ver si cherungs unternehmen.
Für die Studie wurden 12 Experten in per sönlichen Interviews und 35 Versiche rungsunternehmen mittels standardisiertem Fragebogen zum Nutzen des Modells der drei Verteidigungslinien, dessen Im ple men tierung und den bisherigen Erfah run gen befragt. Wir danken allen Betei lig ten für ihre Mitwirkung und sind über zeugt, dass die vorliegenden Aussa gen und Ver glei che aufschluss-reiche Einsichten für die Weiter entwicklung des Modells der drei Verteidi gungslinien bieten.
Wir wünschen Ihnen viel Spass und interessante Erkenntnisse bei der Lektüre.
Die Autoren
STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN
Das Modell der drei Verteidigungslinien (Three-Lines-of-Defense) ist bei vielen Steuerungsansätzen in der Versicherungs industrie ein integraler Bestandteil, der bei zahlreichen Unternehmen im Grund satz implemen tiert wurde und sich so seit Jahren bewährt hat. Aus einer regulatorischen Sicht verweist die FINMA im Erläute rungs bericht zum Rund schrei ben 2017/2 «Corporate Governance – Versicherer» explizit auf das Modell der drei Verteidigungslinien als Ansatz zur Definition der Rollen und Verant wort lichkeiten und der Einbettung der Risiko- und Kontrolleinheiten in ein ganzheitliches Governance-System (FINMA, 2016).
4 I MAZARS & ZHAW
STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN
MANAGEMENT SUMMARY
Die aus den Expertengesprächen und der standardisierten Befragung gewonnenen Erkenntnisse zeigen eine hohe Zustimmung zum grundsätzlichen Nutzen des Modells sowie ein einheitliches Bild zu aktuellen Trends. Das Modell leistet einen wichtigen Beitrag zur Förderung der Bedeutung und ganzheitlichen Umsetzung der Risiko mana ge ment ziele. Während ein weit gehender Konsens bezüglich der groben Struktur der drei Linien besteht, zeigen die Resultate aufgeschlüsselt nach Geschäfts segmenten und Auf sichts kate go rien wesentli che Unterschiede in der Einschätzung der Herausfor derungen und in der operativen Umsetzung.
Die grössten Herausforderungen werden im konsis ten ten Verständnis von Wesent lichkeit und Risiko, unter schiedli-chen Bewertungsmethoden oder Grund lagen so wie Doppel- spurig keiten und Redun dan zen gesehen. Für Lebens- und Sach ver sicherer ist die Nutzung verschie dener (IT-) Syste-me sehr herausfordernd. Demgegenüber beschäftigt Rück-ver sicherer eher, Klarheit bezüglich der Verantwortung nicht-finanzieller Risiken zu schaffen. Als wichtigste Voraussetzung für eine erfolgreiche Umsetzung des Modells wird, wie auch in der Literatur der «Tone at the top» gesehen, gefolgt vom konsistenten Verständnis von Wesent- lichkeit und Risiko, einheitlichen Bewer tungskriterien sowie dem «Tone at the middle».
Wie erwartet nimmt die Risikomanage ment- Funktion
den Grossteil der Risiko- und Kontrolltätigkeiten wahr. Die
meis ten Überschneidungen ergeben sich zwischen Risiko-
management und Compliance. Deutliche Unterschiede im
Aufgaben spektrum von Risikomanagement, Com pliance,
Interner Revision und externen Dienstleis tern zeigen sich
im Vergleich der Geschäftsfelder und Aufsichtskatego rien.
Bei grossen Unternehmen fällt das im Vergleich breite Auf-
ga ben spektrum der Compliance auf. Bei der Differenzierung
nach Geschäftsfeld wird deutlich, dass bei den Kranken ver -
siche rern einzelne Auf gaben ausschliesslich vom Risiko -
ma na ge ment wahr ge nom men werden und die Interne
Revision ein im Vergleich breiteres Aufgabenspektrum wahr-
nimmt. Kleine und mittelgrosse Rückversicherer gaben eher
an, Kontroll aufgaben an externe Dienstleister auszu lagern.
Bezüglich Ressourcen hat sich gezeigt, dass sich die Ver tei-
lung auf die einzelnen Funktionen vor allem im Bereich Compliance unterscheidet.
Generell wenden grosse Un ternehmen mehr perso nelle Ressourcen als kleine re Versicherungsunternehmen auf. Die hohe Zustimmung zu mehreren Trends zeigt, dass die operative Umsetzung des Modells Schweizer Versicherer beschäftigt. Viel Wert legen die Befragten auf die Reduk- tion der Komplexität und einen verstärkten Fokus auf Wesentlichkeit. Unsicherheit besteht in der Definition und Umsetzung der Unabhängig keit. Die bessere Integration der Berichterstattung und der Kontrolltätigkeiten ist vor allem ein Thema bei grösse ren Rück-, Lebens- und Sachversicherern.
Die Erkenntnisse lassen erwarten, dass sich das Aufgaben - spektrum sowie die organi satorische Einbettung der Kon troll f unktionen weiter wandeln wird. Es lassen sich vier Handlungsfelder ableiten. Versicherer sollten die Rollen, Kompetenzen und Verantwortlichkeiten der Kontroll-funk tionen bewusster und klarer definieren, sowie die Einhaltung der Unabhängigkeit und gleichzeitig die Effek-tivität der Zusammenarbeit regel mässig hinter fragen. Dabei gilt es, der Einfachheit und Verständlich keit des Modells als gröss tem Nutzen, sowie der Rolle der Risiko-eigner als wichti g ste Vertei di gungslinie, Sorge zu tragen.
Als Ausgangspunkt der Überlegungen bietet sich eine be reichsübergreifende Diskussion und Definition der we sent lichen Risiken und der ver wen deten Methoden an. Als Leitlinie gilt das übergeordnete Ziel einer risiko orien-tierten Unter nehmensführung, die in einem dyna mischen Marktumfeld proaktiv und nachhaltig zum Erfolg des Unter - nehmens beiträgt und sich nicht in der Rolle der reaktiven Kontrolle begrenzt.
MAZARS & ZHAW I 5
6 I MAZARS & ZHAW
STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN
MAZARS & ZHAW I 7
INHALTSVERZEICHNIS
Vorwort 3
Management Summary 4
Inhaltsverzeichnis 7
Hintergrund 8
Das Modell der drei Verteidigungs linien 8
Kritik am Modell 9
Schweizer Aufsichtspraxis 10
Das Modell in der Bericht erstattung der Schweizer Versicherer 10
Design und Ergebnisse der Studie 12
Nutzen des Modells 12
Umsetzungsstand und Voraussetzungen 14
Aufgabenspektrum der Kontroll funktionen 20
Aktuelle Trends 27
Ausblick und Handlungsfelder 30
Interviewpartner 31
Verweise 32
Autoren 33
8 I MAZARS & ZHAW
STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN
HINTERGRUND
Lehren aus der Finanzkrise und steigende Ansprüche an die Unternehmenssteuerung haben qualitative und organisatorische Aspekte des Risikomanagements von Finanz instituten vermehrt in den Fokus gerückt. Die Etablierung einer adäquaten Organi sa tions struk-tur sowie der Kontroll funktionen Risiko management, Compliance und Interne Revision standen dabei im Mit tel punkt. Damit ein Governance-System die gewünschte Funktionsfähigkeit erreicht, müssen Finanz institute sicherstellen, dass sich die Kontroll-funktionen laufend mit Informationen austauschen und eng zusammenarbeiten (Zinnöcker, 2017). Das «Modell der drei Verteidigungslinien» erlang te durch die Publikation des Institute of Inter nal Auditors (IIA, 2013)1 weitgehende Anerkennung und hat sich inter na tional als Konzept für die organisatorische Einbettung der Kontroll funktionen, sowie die Interak-tion der ver schie denen operativen Einheiten, etabliert.
DAS MODELL DER DREI VERTEIDIGUNGS LINIENIn diesem Kapitel wird die generelle Struktur des Modells der drei Verteidigungslinien bei Versicherern kurz skizziert. Das Modell bildet ab, welche Rolle die Kontrollfunktionen Risikomanagement, Compliance und Interne Revision im Governance-System einnehmen. Unter Solvency II wird der Begriff Schlüssel funktio nen verwen det, welcher auch die Funktion des verant wort li chen Aktuars umfasst. Mit Funktion ist dabei nicht eine Person oder Abteilung gemeint, sondern die Kapazität des Versicherers, die ent sprechenden Aufga ben wahr zu nehmen. Wichtig ist, dass die ver schiedenen Auf ga ben der Kontrollfunktionen objektiv und unabhängig erfüllt wer-den können (FINMA RS 2017/ 02). Hierzu werden drei «Ver-teidigungslinien» gebildet (Ab bildung 1). Die klare Aufgaben-zuteilung soll sicher stellen, dass alle Risiken effektiv und effizient identifiziert und gehandhabt werden. Verwal tungs- rat und Geschäfts leitung sind die primären Stakehol der dieses ursprünglich intern ausgerichteten Modells. Die erste Verteidigungslinie bildet die operativen Ein heiten ab.
VERWALTUNGSRATRisikopolitik und Risikostrategie inklusive Risikoappetit und -toleranz
GESCHÄFTSLEITUNGUmsetzung der Risikostrategie
Berichtet über Risikoangelegenheiten
Direkter Zugang
ERSTE VERTEIDIGUNGSLINIERisikoeigner, operative Einheiten
(Business)
AUFGABEN
Laufende Identifikation, Beurteilung und Steuerung von (neuen) Risiken im Tagesgeschäft
Durchführung von Kontrollaktivitäten zur Einhaltung des Risikoappetits
Identifikation und Eskalation von Prozess- und Kontrollschwächen
Beitrag zur Weiterentwicklung von Richtlinien und Verfahren
ZWEITE VERTEIDIGUNGSLINIERisikomanagement und -prozesse
(Standards)
AUFGABEN
Etablierung des ganzheitlichen Risiko- und Kontrollrahmenwerks
Erfassung und Beurteilung der Gesamtrisikosituation und von aufkommenden Risiken
Überwachung der Einhaltung von rechtlichen Regelungen
Überwachung der Angemessenheit von Prozessen und Methoden
Koordination der Berichterstattung über die Gesamtrisikolage
DRITTE VERTEIDIGUNGSLINIEInterne Revision
(Assurance)
AUFGABEN
Regelmässige, unabhängige Überwachung und Beurteilung der Angemessenheit und Wirksamkeit der Risikomanagement-, Governance- und Kontrollprozesse sowie des Zusammenspiels der Verteidigungslinien
Abbildung 1: Das Modell der drei Verteidigungslinien (eigene Darstellung in Anlehnung an IIA, 2013)
1 Eine aktualisierte Publikation des IIA wird für 2020 erwartet.
MAZARS & ZHAW I 9
Sie zeichnen die Risiken gemäss Risiko appetit und ver wal - ten diese im Rahmen der Geschäfts tätig keit auf operativer Ebene. Hierzu gehört die Identifikation und Überwachung der Risiken und die Implementierung von Steuerungsmass-nahmen. Der ersten Linie kommt daher eine sehr wichtige, duale Rolle zu, indem sie Risiken eingeht und gleichzeitig laufend beurteilt und überwacht.
Der verantwortliche Aktuar unterstützt die Geschäfts-leitung durch seine Beurteilung technischer Aspekte; er steht damit, wie die Geschäftsleitung als Ganzes, ausserhalb der drei Verteidigungslinien. Der verant wort-liche Aktuar erstellt jährlich einen Bericht zuhanden der Geschäftsleitung, in dem neben der Beurteilung auch Massnahmen zur Behebung erkannter Unzulänglichkeiten, für die durch ihn abzudeckenden Themen, einfliessen.
Die Funktionen Risikomanagement sowie Compliance bilden die zweite Verteidigungslinie. Sie verantwortet die Etablierung des Risikomanagement-Rahmenwerks, der Prozesse und des Kontrollsystems. Sie koordiniert die regelmässige und ad-hoc Risikoberichterstattung an das Management und oft auch direkt an den Verwal-tungsrat. Sie überwacht die Organisation und Funktions-fähigkeit der ersten Verteidigungslinie und überprüft die Einhaltung von Gesetzen, Weisungen und Regeln.
Die dritte Verteidigungslinie umfasst die interne Revision, welche die Effektivität und Effizienz der Kontroll mass-nahmen und des Risikomanagement prozesses sowie die Zusammenarbeit der Verteidigungslinien beurteilt und als unabhängige Instanz direkt dem Verwaltungsrat berichtet.
KRITIK AM MODELLWährend ein weitgehender Konsens bezüglich der groben Struktur der drei Linien besteht, gibt es doch wesentliche Unterschiede in der operativen Umsetzung (Davies & Zhivitskaya, 2018). Aktuelle Kritik und Diskus sionen in Wissenschaft und Praxis im Finanzbereich umfassen unter anderem folgende Themenbereiche:
— Das Modell ist zu restriktiv und limitiert, es wer den eher reaktive «Verteidigungsaktivitä ten» als ein proaktiver Ansatz gefördert (vgl. The Institute of Internal Auditors, 2019).
— Die vorgegebenen Strukturen sind zu rigide und bergen die Gefahr, Silos zu kreieren (vgl. IIA, 2019). Das Modell nimmt zu wenig Rücksicht darauf, dass unterschiedliche Risiken, insbesondere nicht-finan - zielle Risiken, unterschiedliche Ansätze erfordern (vgl. Decaux & Sarens, 2015).
— Das Modell vermittelt eine Scheinsicherheit, weil so viele Funktionen für Risikomanagement zuständig sind, dass sich letztlich niemand wirklich verant-wortlich fühlt (vgl. Davies & Zhivitskaya, 2018).
— Dem Umstand, dass die erste Verteidigungslinie die wichtigste Rolle in der Umsetzung des Risiko-appetits einnimmt, muss mehr Nachdruck verliehen werden (Davies & Zhivitskaya, 2018).
— Klärungsbedarf hat des Weiteren der Interessen skonflikt der ersten Linie, gleichzeitig Rendite- und Risiko-ziele umsetzen zu müssen (Arndorfer & Minto, 2015).
— Unklar, respektive zu definieren, ist das Aufgabenspektrum der zweiten Linie, die einerseits unabhängig, aber dennoch in enger Zusammen arbeit mit der ers-ten Linie operieren soll (Arndorfer & Minto, 2015; COSO & IIA, 2015; Davies & Zhivitskaya, 2018; Sweeting, 2017).
— Sind Erfahrung, Wissen und interne Stellung von Mit-arbeitenden in der ersten Linie besser als in der zwei-ten Linie, kann dies dazu führen, dass die zweite Linie nur behandelt, was sich die erste Linie entscheidet zu zeigen oder zu diskutieren (Arndorfer & Minto, 2015; Davies & Zhivitskaya, 2018).
— Externe Prüfer und Regulatoren sollen als vierte Verteidigungslinie im Modell hinzugefügt werden (Arndorfer & Minto, 2015), um deren ergänzende Rolle hervorzuheben.
Damit verbundene Fragestellungen beschäftigen auch die Schweizer Versicherungsindustrie, wo sich das Modell der drei Verteidigungslinien seit vielen Jahren etabliert hat.
10 I MAZARS & ZHAW
STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN
2 Von 176 analysierten Berichten stammten 50 Berichte von Niederlassungen ausländischer Gesellschaften, welche bei der weiteren Analyse keine Berücksichtigung fanden.
Abbildung 2: Erwähnung des Modells der drei Verteidigungslinien im Bericht über die Finanzlage (ohne Zweigniederlassungen, n=126)
2 1 1010 8
201718
40
KEINE EXPLIZITE NENNUNG
Kranken-versicherung
Rück-versicherung
Lebens- / Sach-versicherung
NENNUNG DES MODELLSNENNUNG UND AUSFÜHRLICHE BESCHREIBUNG DES MODELLS
0
10
20
30
40
50
60
70
80
SCHWEIZER AUFSICHTSPRAXISIn den sogenannten Vor-Ort-Kontrollen, welche durch die Aufsicht durchgeführt werden, werden häufig die allgemei-nen Corporate Governance Prinizipien des FINMA-Rund-schrei bens 17/2 auf deren Angemessenheit untersucht und beurteilt. Dabei wird insbesondere untersucht, ob die Kontrollfunktio nen unabhängig, deren Aufgaben, Kompeten-zen und Verant wor tungen und die Risikomana gement- und Compliance-Prozes se ausreichend und klar definiert sind und kontinu ier lich umgesetzt werden. Des Weiteren wird die Ausge staltung des Aufgaben spektrums der zweiten Linie hinsichtlich Beurteilung der Angemessen heit und Wirk sam - keit des Risikomanagementsystems und internes Kontroll- system oft diskutiert.
DAS MODELL IN DER BERICHT ERSTATTUNG DER SCHWEIZER VERSICHERER Um einen Eindruck zu gewinnen, inwieweit das Modell der drei Verteidigungslinien in die Berichterstattung von Schweizer Versicherungsunternehmen bereits Einzug gehalten hat, wurden 126 Berichte zur Finanz - lage (Geschäfts jahr 2018) analysiert.2 Innerhalb der analysierten Berichte haben 51 Versiche rungs unter-nehmen explizit auf das Modell der drei Verteidi gungs - linien verwiesen.
Die Auswertung zeigt, dass insgesamt 40.5 % der unter-suchten Unternehmen im Bericht zur Finanzlage Bezug zum Modell der drei Verteidi gungs linien nehmen. 10.3 % beschreiben die Umsetzung des Modells, was in der Ab - bildung 2 als ausführliche Beschreibung gewertet wurde. Während die Berichterstattung kein Indiz für die Wichtigkeit oder den Um setzungsstand im Unternehmen darstellt, so ist sie doch ein Hinweis auf die Relevanz, welche der Kommu nikation des Modells der drei Verteidi gungs li nien als Ansatz zur ganzheitlichen Umsetzung des Governance- Systems zuge sprochen wird. Die Verteilung ist weitge hend unabhängig vom Versicherungssegment.
MAZARS & ZHAW I 11
12 I MAZARS & ZHAW
STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN
Insgesamt haben 35 Versicherungsunternehmen an der Online Befragung teilgenommen, haupt sächlich Verant-wortliche der zweiten Vertei di gungs linie (Abbildung 6). Der Fragebogen stand in Deutsch, Französisch und Englisch zur Verfügung. Die befragten Untenehmen lassen sich anhand ihrer Geschäftstätigkeit in Lebens- und Sachver - si cherer, Rückversicherer und Krankenversicherer katego - risieren (Abbildung 4).
Prozentangaben beziehen sich immer auf die Gesamtzahl der Antworten, die bei der jeweiligen Frage abgegeben wurden. Wurden die Antworten zu mehreren Fragen zu einem Indikator aggregiert, wurde dazu das arithmetische Mittel benutzt. Eine Abweichung der addierten Antworten von 100 % resultiert durch eine Rundung der Antworten auf ganze Zahlen.
Die Studienteilnehmer lassen sich den FINMA-Aufsichts-kategorien 2 bis 5 zuordnen (Abbildung 5). Die Kategorie dient im Rahmen dieser Studie als Indikator für die Unter-nehmensgrösse, wobei Kategorie 2 grossen und Kategorie 5 kleineren Unternehmen entspricht. Im Rahmen dieser Studie wurden die Kategorien 4 und 5 zusammenge fasst und gemeinsam ausgewertet, da nur wenige Unternehm-en der Kategorie 5 teilgenommen haben.
Die insgesamt 35 befragten Unternehmensvertreter lassen sich primär den Funktionen qualitatives Risikomanagement / Interne Kontrolle und Finanzen / Rechnungswesen zuordnen.
Unter Berücksichtigung von ausgeübten Doppelfunk tionen verschiebt sich die Gewichtung in Richtung qualitatives Risiko management / Interne Kontrolle und Legal / Com pli a nce (Abbildung 6). Andere bezeichnen überwiegend Funktionen im Management (CEO), welche sich keiner der Funktionen zuordnen lassen.
«Das Modell ist nützlich, da es bekannt ist,
man kann sich darauf beziehen.»
NUTZEN DES MODELLSDen grössten Nutzen des Modells der drei Verteidi gungs-linien sehen die befragten Unternehmen in der Verdeut-lichung der Wichtigkeit der Risiko- und Kontrollfunktionen für das Unternehmen und in einer ganzheitlicheren Um- setzung von Risikomanagement (Abbildung 7). Dies wird von jeweils 83 % der befragten Unternehmen als (sehr) wichtig beurteilt. Den geringsten Nutzen messen die Unternehmen der Organisation der Berichterstattung an verschiedene Adressaten bei. Auf Nachfrage gaben die Unternehmen an, dass die jeweiligen Berichte ohne-hin erstellt werden und dabei grösstenteils auf einen gemeinsamen Informationspool zurückgegriffen wird.
Abbildung 3: Methodisches Vorgehen
QUANTITATIVE BEFRAGUNG STUDIEQUALITATIVE
BEFRAGUNGDESK RESEARCH
DESIGN UND ERGEBNISSE DER STUDIE
Die Methodik der vorliegenden Studie basiert auf einer Kombination von quantitativer und qualitativer Befragung (Abbildung 3). Die quantitative Befragung mittels Online-Survey fand zwischen dem 22. August und dem 30. Sep tember 2019 statt. Gleichzeitig haben die Autoren mit 12 Vertretern der zweiten und dritten Verteidigungs linie verschiedener Versicherungsgesellschaften ein Exper ten gespräch geführt (vgl. Interviewpartner S.31). Aussagen aus diesen Gesprächen finden sich als Zitate hervorgehoben und im Text integriert. Die Aussagen der Interviewpartner wurden anonymisiert und möglichst wortgetreu transkribiert. Wir bedanken uns bei allen, die mit ihrer Teilnahme an der Befragung und an den Gesprächen zu dieser Studie beigetragen haben.
MAZARS & ZHAW I 13
Abbildung 7: Der grösste Nutzen des Modells der drei Verteidigungslinien wird gesehen in … (n=35)
0 20 40 60 80 100
… der Förderung der Einhaltung von Gesetz, Weisungen und Regeln
9 % 11 % 31 % 49 %
… der Verdeutlichung der Wichtigkeit der Risiko- und Kontrollfunktionen für das Unternehmen
11 % 6 % 43 % 40 %
… einer ganzheitlichen Umsetzung von Risikomanagement
3 % 3 % 11 % 34 % 49 %
… der Organisation der Berichterstattung an verschiedene Adressaten
3 % 8.5 % 20 % 23 % 37 % 8.5 %
… der Institutionalisierung einer Balance von Risiko- / Kontrolle- gegenüber Ertrag- / Rendite-
Tätigkeiten
6 % 3 % 17 % 17 % 26 % 31 %
… einer gemeinsamen Sprache3 % 3 % 9 % 23 % 37 % 26 %
… der Einfachheit und Verständlichkeit des Konzepts3 % 14 % 17 % 34 % 31 %
… der Qualitätssicherung3 % 9 % 20 % 46 % 23 %
… der Koordination der Zuständigkeiten und Verantwortlichkeiten
3 % 11 % 14 % 46 % 26 %
STIMME ZUSTIMME EHER ZUWEDER NOCHSTIMME EHER NICHT ZUSTIMME NICHT ZU WEISS NICHT / NICHT BEURTEILBAR
Abbildung 6: In welcher Funktion sind Sie für Ihr Unternehmen tätig? (Mehrfachauswahl, n=35)
QUALITATIVES RISIKOMANAGEMENT / INTERNE KONTROLLE
FINANZEN / RECHNUNGSWESEN INTERNE REVISION
5 %
7 %
17 %17 %
31 %24 %
ANDEREAKTUARIAT / QUANTITATIVES RISIKOMANAGEMENT
LEGAL / COMPLIANCE
Abbildung 4: Welches Geschäft betreibt Ihr Unternehmen? (n=35)
KRANKENVERSICHERUNGRÜCKVERSICHERUNGLEBENS- / SACHVERSICHERUNG
29 % 31 %
40 %
Abbildung 5: Welcher Aufsichtskategorie ist Ihr Unternehmen zugeteilt? (n=35)
37 %
KATEGORIE 2
KATEGORIEN 4 & 5KATEGORIE 3
49 %
14 %
14 I MAZARS & ZHAW
STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN
Aufgeteilt nach Geschäftsbereichen ergeben sich gering-fügig unterschiedliche Beurteilungen (Abbildung 8). Lediglich der Einfachheit und Verständlichkeit des Konzepts messen die Rückversicherer nicht denselben Nutzen bei wie Kranken-, Lebens- und Sachversicherer.
Eine deutlich differenziertere Beurteilung ergibt die Analyse der Ergebnisse nach Unternehmensgrösse (Abbildung 9). Kleinere Unternehmen messen der Einfachheit und Verständ - lichkeit des Konzepts eine geringere Bedeutung zu, wohin-gegen grosse Unternehmen hier einen höheren Nutzen sehen.
UMSETZUNGSSTAND UND VORAUSSETZUNGENDas Modell der drei Verteidigungslinien ist seit vielen Jahren bei den Unternehmen etabliert. Dies bestätigten über 94 % der befragten Unternehmen (Abbildung 10). Auch die Interviews bestätigen, dass die Unternehmen das Modell als Teil des unternehmensweiten Risiko ma-nagements implementiert haben. Allerdings gibt das Modell lediglich die grobe Struktur vor, daher bestehen doch Unterschiede in der konkreten Umsetzung, insbe-sondere in der Ausgestaltung des Aufgabespektrums der zweiten Linie sowie der Beurteilung der Zusammen-arbeit der drei Linien. Dies zeigt sich in der Antwort, dass die Zusammenarbeit der drei Verteidigungslinien noch nicht bei allen Unternehmen regelmässig beurteilt wird.
Abbildung 8: Der grösste Nutzen nach Geschäftsfeld (nach Mittelwert) wird gesehen in ... (n=35)
… d
er O
rgan
isat
ion
der
Ber
icht
erst
attu
ngan
ver
schi
eden
e A
dres
sate
n
... d
er In
stitu
tiona
lisie
rung
ein
er B
alan
ce v
onR
isik
o- /
Kon
trol
le-
gege
nübe
r Er
trag
- /
Ren
dite
-Tät
igke
iten
… e
iner
gem
eins
amen
Spr
ache
… d
er E
infa
chhe
it un
d V
erst
ändl
ichk
eit d
es K
onze
pts
… d
er Q
ualit
ätss
iche
rung
… d
er K
oord
inat
ion
der
Zust
ändi
gkei
ten
und
Vera
ntw
ortl
ichk
eite
n
… d
er F
örde
rung
der
Ein
halt
ung
von
Ges
etz,
Wei
sung
en u
nd R
egel
n
… e
iner
gan
zhei
tlic
hen
Um
setz
ung
von
Ris
ikom
anag
emen
t
Stimmenicht zu
Stimme zu
KRANKENVERSICHERER RÜCKVERSICHERER LEBENS- / SACHVERSICHERER
Wedernoch
Wedernoch
… d
er V
erde
utlic
hung
der
Wic
htig
keit
der
Ris
iko-
und
Kon
trol
lfun
ktio
nen
für
das
Unt
erne
hmen
«Eine Reife kann angenommen werden, wenn die Risiko sicht explizit einge fordert wird
und kein lästiges Übel mehr darstellt.»
«Ob das Modell der drei Verteidigungs - linien wirklich gelebt wird, ist auch
eine Frage der Kultur.»
MAZARS & ZHAW I 15
Abbildung 9: Der grösste Nutzen nach Aufsichtskategorie (nach Mittelwert) wird gesehen in ... (n=35)
Stimmenicht zu
Stimme zu
… d
er O
rgan
isat
ion
der
Ber
icht
erst
attu
ngan
ver
schi
eden
e A
dres
sate
n
... d
er In
stitu
tiona
lisie
rung
ein
er B
alan
ce v
onR
isik
o- /
Kon
trol
le-
gege
nübe
r Er
trag
- /
Ren
dite
-Tät
igke
iten
… e
iner
gem
eins
amen
Spr
ache
… d
er E
infa
chhe
it un
d V
erst
ändl
ichk
eit d
es K
onze
pts
… d
er Q
ualit
ätss
iche
rung
… d
er K
oord
inat
ion
der
Zust
ändi
gkei
ten
und
Vera
ntw
ortl
ichk
eite
n
… d
er F
örde
rung
der
Ein
halt
ung
von
Ges
etz,
Wei
sung
en u
nd R
egel
n
… d
er V
erde
utlic
hung
der
Wic
htig
keit
der
Ris
iko-
und
Kon
trol
lfun
ktio
nen
für
das
Unt
erne
hmen
… e
iner
gan
zhei
tlic
hen
Um
setz
ung
von
Ris
ikom
anag
emen
t
Wedernoch
KATEGORIE 2 KATEGORIE 3 KATEGORIEN 4 & 5
Abbildung 10: Wie beurteilen Sie den Grad der Umsetzung des Modells der drei Verteidigungslinien innerhalb Ihres Unternehmens (n=35)?
0 20 40 60 80 100
Nebst einzelnen Kontrollen und Prozessen wird bei uns auch die Wirksamkeit der Zusammenarbeit
der drei Verteidigungslinien regelmässig beurteilt
6 % 14 % 20 % 34 % 26 %
Wir haben das Modell vollständig in Funktions-beschreibungen / Verantwortlichkeiten formalisiert
17 % 6 % 43 % 34 %
Fragen der Umsetzung beschäftigen uns regelmässig
17 % 3 % 40 % 40 %
Wir haben das Modell seit vielen Jahrenimplementiert
6 % 31 % 63 %
Das Modell ist im Bewusstsein aller drei Linien verankert und wird gelebt
14 % 6 % 49 % 31 %
STIMME ZUSTIMME EHER ZUWEDER NOCHSTIMME EHER NICHT ZUSTIMME NICHT ZU WEISS NICHT / NICHT BEURTEILBAR
16 I MAZARS & ZHAW
STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN
Abbildung 11: Welches sind die wichtigsten Voraussetzungen für eine erfolgreiche Umsetzung (n=35)?
0 20 40 60 80 100
Nutzung derselben Methoden über alle Funktionen und Bereiche hinweg
Tone at the middle (Vorbild und Überzeugtheit des mittleren Managements)
Konsistentes Verständnis von Wesentlichkeit und Risiko und einheitliche Bewertungskriterien
Tone at the top (Vorbild und Überzeugtheit der Geschäftsleitung
3 % 17 % 80 %
3 % 6 % 46 % 46 %
3 % 9 % 31 % 57 %
3 % 3 % 11 % 14 % 46 % 23 %
Schulungen / Informationsveranstaltungen zu Governance, Risikomanagement und Kontrolle
6 % 14 % 40 % 40 %
Maturität / Reifegrad des unternehmensweiten Risikomanagementsystems
9 % 6 % 43 % 43 %
Entwicklung eines gemeinsamen Vokabulars und einheitlicher Definitionen
6 % 9 % 49 % 37 %
Klare und aktuelle Beschreibung von Pflichten und Aufgaben der verschiedenen Funktionen
9 % 11 % 23 % 57 %
SEHR WICHTIGEHER WICHTIGWEDER NOCHEHER UNWICHTIGUNWICHTIG WEISS NICHT / NICHT BEURTEILBAR
Als wichtigste Voraussetzung für eine erfolgreiche Um set-zung des Modells sehen die befragten Unternehmen den Tone at the Top – die Vorbildfunktion und Überzeugtheit der Geschäftsleitung (Abbildung 11). Dies gaben rund 97 % der Unternehmen an. Auch die weiteren abgefragten Voraussetzungen werden von 80 % bis 91 % als wichtig bzw. sehr wichtig eingestuft. Als am wenigsten wichtig wird die Nutzung derselben Methoden über alle Funktionen und Bereiche hinweg beurteilt. Dies sahen nur rund 69 % als wichtig bzw. sehr wichtig an. Rück-, Lebens- und Sach-versicherer weisen dem konsistenten Verständnis von Wesent lichkeit und Risiko und einheitlichen Bewertungs-kriterien zudem einen höheren Stellenwert zu als Kranken-versicherer. Ebenso erachten die Krankenversicherer eine klare und aktuelle Beschreibung von Pflichten und Aufgaben der verschiedenen Funktionen als wichtiger wie Rück-, Lebens- und Sachversicherer. Schulungen und Informations ver anstaltungen zu Governance, Risiko-mana gement und Kontrolle beurteilen Lebens- und Sach-versicherer hingegen wichtiger als Kranken- und Rückversicherer.
Die Herausforderungen, welche sich in Bezug zur Im ple-men tierung des Modells der drei Verteidigungslinien stellen, werden von den Unternehmen unterschiedlich beurteilt. Abbildung 12 gibt einen Überblick über alle befragten Unter-nehmen. Als grösste Herausforderung sehen über 77 % der Unternehmen das konsistente Verständnis von Wesent-lichkeit und Risiko sowie unterschiedliche Bewertungsme-thoden oder Grundlagen in unterschiedlichen Bereichen / Risikoarten. Doppelspurigkeiten, Redundanzen und deren Reduktion sind ein grosses Thema. Ansehen und Autorität der Kontrollfunktionen und die (informelle) Delegation von Verantwortung an die Kontrollfunktionen bilden demge gen- über die geringsten Herausforderungen.
MAZARS & ZHAW I 17
Abbildung 12: Herausforderungen in Bezug zur Implementierung des Modells der drei Verteidigungslinien (n=35)
STIMME ZUSTIMME EHER ZUWEDER NOCHSTIMME EHER NICHT ZUSTIMME NICHT ZU WEISS NICHT / NICHT BEURTEILBAR
0 20 40 60 80 100
(Informelle) Delegation von Verantwortung an die Kontrollfunktionen
11 % 6 % 26 % 17 % 26 % 14 %
Ansehen und Autorität der Kontrollfunktionen3 % 9 % 29 % 17 % 20 % 23 %
Parallele Strukturen für Geschäft und Rechtseinheit14 % 6 % 17 % 20 % 14 % 29 %
Informationsaustausch zwischen den Verteidigungslinien
6 % 3 % 31 % 11 % 31 % 17 %
Überprüfung der Wirksamkeit der Zusammenarbeit der drei Linien
9 % 3 % 23 % 14 % 34 % 17 %
Fachkompetenz / Erfahrung in den Kontrollfunktionen
6 % 9 % 23 % 11 % 26 % 26 %
Interessenskonflikte aufgrund unterschiedlicher Zielsetzungen in den drei Verteidigungslinien
3 % 11 % 23 % 9 % 40 % 14 %
Klarheit der Verantwortlichkeiten in Bezug zum Risikomanagement nicht-finanzieller Risiken
3 % 6 % 20 % 11 % 37 % 23 %
Berichterstattung an verschiedene Adressaten zu unterschiedlichen Zeitpunkten
6 % 6 % 17 % 11 % 37 % 23 %
Nutzung verschiedener (IT-)Systeme für die Dokumentation der Risiko- und Kontroll-Tätigkeiten
und Ergebnisse
11 % 9 % 20 % 37 % 23 %
Silodenken in den verschiedenen Verteidigungslinien
23 % 14 % 26 % 37 %
Doppelspurigkeiten und Redundanzen bezüglich Kontrolltätigkeiten
3 % 3 % 20 % 3 % 40 % 31 %
Unterschiedliche Bewertungsmethoden oder Grundlagen in unterschiedlichen Bereichen
/ Risikoarten
6 % 11 % 6 % 54 % 23 %
Konsistentes Verständnis von Wesentlichkeit und Risiko
3 % 6 % 14 % 31 % 46 %
«Wir hatten viele Insel geschichten und bauten dann separate Tools.
Allerdings wirken viele Massnahmen übergreifend, sodass man dadurch viele Redundanzen und
Inkonsistenzen produziert.»
«Aufgrund der unterschied lichen IT-Systeme hat man auch ein unterschiedliches
Vokabular.»
«Die Absprache und Abstimmung zwischen den Assurance Funktionen ist eine
grosse Herausforderung.»
«Die erste Linie wurde in der Vergangenheit zu stark durch nicht koordinierte Assurance
Tätigkeiten belastet.»
18 I MAZARS & ZHAW
STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN
Bei Betrachtung der einzelnen Geschäftsfelder ergeben sich jedoch teilweise deutliche Unterschiede bei der Beur tei lung (Abbildung 13). Insbesondere die Nutzung verschiedener (IT-) Systeme für die Dokumentation der Risiko- und Kontroll- Tätig keiten und Ergebnisse erfährt eine unter schied liche Beurteilung von Kranken versiche rern und Lebens- / Sach-versicherern. Abweichend ist auch die Beurteilung der Klar-heit der Verantwor tung in Bezug zum Risikomanagement nicht-finanzieller Risiken. Dies wird von den Rückversi che - rern als grösste Heraus forderung eingestuft.
Die Analyse der Herausforderungen nach Aufsichts kate gorie zeigt, dass die (informelle) Delegation von Ver antwor tung an die Kontrollfunktionen am unterschied lichs ten von den Versicherern beurteilt wird (Ab bildung 14). Versiche rer der Kategorie 2 sehen hier keine Heraus for de rung, wohin gegen Versicherer der Kategorie 3 diese durchaus wahr neh men. Auffallend ist auch die unterschied liche Bewertung der Berichterstattung an verschie dene Adressaten zu unter-schiedlichen Zeitpunkten. Diese wird von Versicherern der Kategorie 3 als Herausforde rung einge stuft, wohingegen Versiche rer der Katego rie 2 keine besondere Herausforde-rung sehen. Kleine Versicherer stehen mit ihrer Beurtei lung jeweils dazwischen, so dass ein Rückschluss auf die Un ter - neh mens grösse nicht gezogen werden kann. Eine deutlich unterschiedliche Beurteilung er gibt sich auch bei den Fach- kompetenzen / Erfahrungen in den Kontrollfunk tionen. Hier sehen kleinere Versiche rungs unterneh men eine deutlich geringere Herausfor de rung als die grösseren Versiche rungs - unternehmen.
Abbildung 13: Herausforderungen in Bezug zur Implementierung des Modells der drei Verteidigungslinien nach Geschäftsfeld (nach Mittelwert, n=35)
Übe
rprü
fung
der
Wir
ksam
keit
der
Zus
amm
enar
beit
der
drei
Lin
ien
Inte
ress
ensk
onfl
ikte
auf
grun
d u
nter
schi
edlic
her
Ziel
setz
unge
n in
den
dre
i Ver
teid
igun
gslin
ien
Ber
icht
erst
attu
ng a
n ve
rsch
iede
ne A
dres
sate
n zu
unt
ersc
hied
liche
n Ze
itpun
kten
Kla
rhei
t der
Ver
antw
ortl
ichk
eite
n in
Bez
ug z
um R
isik
oman
agem
ent
nic
ht-fi
nanz
ielle
r R
isik
en
Nut
zung
ver
schi
eden
er (I
T-)S
yste
me
für
die
Dok
umen
tatio
n de
r R
isik
o- u
nd K
ontr
oll-
Tätig
keite
n un
d Er
gebn
isse
Silo
denk
en in
den
ver
schi
eden
en V
erte
idig
ungs
linie
n
Dop
pels
puri
gkei
ten
und
Red
unda
nzen
bezü
glic
h K
ontr
ollt
ätig
keite
n
Unt
ersc
hied
liche
Bew
ertu
ngsm
etho
den
ode
r G
rund
lage
n in
Unt
ersc
hied
liche
n B
erei
chen
/ R
isik
oart
en
Kon
sist
ente
s Ve
rstä
ndni
s vo
nW
esen
tlic
hkei
t und
Ris
iko
Stimmenicht zu
Stimme zu
Fach
kom
pete
nz /
Erf
ahru
ng in
den
Kon
trol
lfun
ktio
nen
Info
rmat
ions
aust
ausc
h zw
isch
en d
en V
erte
idig
ungs
linie
n
Par
alle
le S
truk
ture
n fü
r G
esch
äft u
nd R
echt
sein
heit
Ans
ehen
und
Aut
oritä
t der
Kon
trol
lfun
ktio
nen
(Info
rmel
le) D
eleg
atio
n vo
n Ve
rant
wor
tung
an
die
Kon
trol
lfun
ktio
nen
Wedernoch
KRANKENVERSICHERER RÜCKVERSICHERER LEBENS- / SACHVERSICHERER
MAZARS & ZHAW I 19
Abbildung 14: Herausforderungen in Bezug zur Implementierung des Modells der drei Verteidigungslinien nach Aufsichtskategorie (Mittelwert, n=35)
Stimmenicht zu
Stimme zu
Wedernoch
Übe
rprü
fung
der
Wir
ksam
keit
der
Zus
amm
enar
beit
der
drei
Lin
ien
Inte
ress
ensk
onfl
ikte
auf
grun
d u
nter
schi
edlic
her
Ziel
setz
unge
n in
den
dre
i Ver
teid
igun
gslin
ien
Ber
icht
erst
attu
ng a
n ve
rsch
iede
ne A
dres
sate
n zu
unt
ersc
hied
liche
n Ze
itpun
kten
Kla
rhei
t der
Ver
antw
ortl
ichk
eite
n in
Bez
ug z
um R
isik
oman
agem
ent
nic
ht-fi
nanz
ielle
r R
isik
en
Nut
zung
ver
schi
eden
er (I
T-)S
yste
me
für
die
Dok
umen
tatio
n de
r R
isik
o- u
nd K
ontr
oll-
Tätig
keite
n un
d Er
gebn
isse
Silo
denk
en in
den
ver
schi
eden
en V
erte
idig
ungs
linie
n
Dop
pels
puri
gkei
ten
und
Red
unda
nzen
bezü
glic
h K
ontr
ollt
ätig
keite
n
Unt
ersc
hied
liche
Bew
ertu
ngsm
etho
den
ode
r G
rund
lage
n in
Unt
ersc
hied
liche
n B
erei
chen
/ R
isik
oart
en
Kon
sist
ente
s Ve
rstä
ndni
s vo
nW
esen
tlic
hkei
t und
Ris
iko
Fach
kom
pete
nz /
Erf
ahru
ng in
den
Kon
trol
lfun
ktio
nen
Info
rmat
ions
aust
ausc
h zw
isch
en d
en V
erte
idig
ungs
linie
n
Par
alle
le S
truk
ture
n fü
r G
esch
äft u
nd R
echt
sein
heit
Ans
ehen
und
Aut
oritä
t der
Kon
trol
lfun
ktio
nen
(Info
rmel
le) D
eleg
atio
n vo
n Ve
rant
wor
tung
an
die
Kon
trol
lfun
ktio
nen
KATEGORIEN 4 & 5KATEGORIE 3 KATEGORIE 2
«Interne Revisoren müssen analytisch sehr gut sein, sowie eine investigative Denkweise
mitbringen. Darüber hinaus sollen diese ‹Super-Revisoren› dann auch noch
eine hohe Fachkompetenz mitbringen.»
«Falls die Fachkompetenz keine Herausforderung darstellt, ist man
wahrscheinlich zu wenig ambitioniert.»
20 I MAZARS & ZHAW
STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN
Abbildung 15: Abdeckung verschiedener Aufgaben durch Risikomanagement, Compliance, Interne Revision und externe Dienstleister (n=35)
91 91% 9188
94
60
31
85
54
6669
28
2023
20%
51%48
11% 11
3
26
96 6
11
17 17
3%
94
40
2323
60
66
14
48
40
14
8
14
34%
51
20
3%0
20
40
60
80
100
GESAMT
0%03
40
49
3437
1114
Einh
olen
von
ext
erne
n A
ssur
ance
Ber
icht
en (w
ie P
S 9
50 B
eric
ht, I
SA
E 30
00 R
epor
t, IS
AE
3402
Rep
ort,
US
SO
C R
epor
t)
Übe
rprü
fung
der
Ord
nung
smäs
sigk
eit
alle
r A
ktiv
itäte
n un
d P
roze
sse
Kon
trol
lprü
fung
(Tes
ting)
Kon
trol
ldur
chfü
hrun
g
Übe
rwac
hung
des
Ris
ikom
anag
emen
ts d
er e
rste
n Ve
rtei
digu
ngsl
inie
Übe
rprü
fung
der
Ein
halt
ung
von
Ges
etze
n, W
eisu
ngen
und
Reg
eln
Valid
ieru
ng v
on M
odel
len
Ber
atun
g de
r er
sten
Ver
teid
igun
gslin
ie b
ei R
isik
ofra
gen
Ber
atun
g de
s ob
erst
en O
rgan
s be
zügl
ich
Ris
iko-
/ R
endi
te-A
bwäg
unge
n
Ber
icht
erst
attu
ng ü
ber
die
Ris
ikol
age
Entw
ickl
ung
und
Defi
nitio
n vo
n R
isik
oind
ikat
oren
Entw
ickl
ung
und
Übe
rwac
hung
des
Ris
ikor
ahm
enw
erks
sow
ie d
er L
eitl
inie
n
Beu
rtei
lung
der
Wir
ksam
keit
und
Ang
emes
senh
eit d
es K
ontr
ollu
mfe
lds
Alle Angaben in Prozent
EXTERNE DIENSTLEISTER INTERNE REVISIONCOMPLIANCERISIKOMANAGEMENT
AUFGABENSPEKTRUM DER KONTROLL FUNKTIONENDer Grossteil der Risiko- und Kontrolltätigkeiten wird von der Risikomanagement-Funktion wahrgenommen (Ab bil-dung 15). Bei denjenigen Aufgaben, an denen das Risiko-management nicht federführend ist, ist es zumindest einge-bunden. Die Überprüfung der Einhaltung von Ge setzen, Weisungen und Regeln liegt, wie erwartet, in der Verantwor-tung der Compliance Funktion. Der Fokus der internen Revision liegt auf der Überprüfung der Ord nungs mässigkeit aller Aktivitäten und Prozesse, der Be urteilung der Wirksam-keit und Angemessenheit des Kontrollumfeldes, des Testings sowie der Überwachung des Risikomanagements der zwei-ten Linie. Diese Aufgaben werden mehrheitlich selbst und selten von externen Dienstleistern erfüllt.
Ergänzend gaben einige Befragte an, dass auch das Business Continuity Management sowie einzelne Risikoassessments und Erstellung von Risikoszenarien zu den Aufgaben des Risikomanagements gehören. Zu den weiteren Aufgaben der Compliance Funktion gehören auch Sensibilisierungen und Schulungen zu den jeweiligen Themen und Aufgaben. Darüber hinaus wurden, nebst den abgefragten, keine weiteren Aufga ben genannt. Nicht abgefragt wurde das Aufgabenspektrum der ersten Verteidigungs linie. Auffallend ist, dass Aufgaben wie beispielsweise Kontrollprüfung (Testing) oder die Berichterstattung über die Risikolage von mehreren Kontrollfunktionen wahrgenom men werden.
MAZARS & ZHAW I 21
Die insgesamt häufigsten Nennungen waren die Auf gaben «Berichterstattung über die Risikolage», «Beurteilung der Wirksamkeit und Angemessenheit des Kontrollumfeldes» sowie «Überwachung des Risikomanagements der ersten Verteidigungslinie».
Bei einer aggregierten Betrachtung aller genannten Aufgaben übernimmt das Risikomanagement bei allen Geschäftsfeldern die meisten Aufgabenarten (vgl. Abbildung 16). Unterschied lich ist das Spektrum von Compliance und Interner Revision. Bei den Kranken-ver sicherern hat die Interne Revision ein breiteres Auf-gabenspektrum als Compliance. Letztere nehmen im Vergleich bei Rück, Lebens- und Sachversicherern ein höheres Auf gaben spektrum wahr. Externe Dienstleister werden in diesem Zusammenhang am meisten von den Rückversicherern genutzt, machen jedoch nur einen geringen Anteil am gesamten Aufgabenspektrum aus.
Die Betrachtung nach Aufsichtskategorie zeigt, dass, über alle Kategorien hinweg, das Risikomanagement das grösste Aufgabenspektrum abdeckt (vgl. Abbildung 17). Bei grossen Unternehmen fällt das im Vergleich hohe Aufgabenspektrum der Com pliance auf. Auch bei kleine-ren Versicherern wird rund ein Viertel des abgefragten Aufgabenspektrums durch Compliance (mit-) abgedeckt. Bei Versicherern der Aufsichtskategorie 3 hat im Vergleich die Interne Revision ein grösseres Auf ga benspektrum als die Funktion Compliance. Externe Dienst leister wer-den am häufigsten von kleinen und mittel grossen Rück-versicherungsunternehmen in Anspruch genommen.
Abbildung 16: Anteil der Kontrollfunktionen am Aufgabenspektrum nach Geschäftsbereichen (n=35)
5 % 14 % 3 %
17 % 22 % 33 %
42 %47 % 52 %
26 % 17 %22 %
INTERNE REVISION
Kranken-versicherung
Rück-versicherung
Lebens- / Sach-versicherung
COMPLIANCERISIKOMANAGEMENTEXTERNE DIENSTLEISTER
0
20
40
60
80
100
Abbildung 17: Anteil der Kontrollfunktionen am Aufgabenspektrum nach Aufsichtskategorie (n=35)
Kategorie 2 Kategorie 3 Kategorien 4 & 5
0
20
40
60
80
100 4 %
35 % 19 % 27 %
44 %50 %43 %
17 %24 %
19 %
7 % 10 %
INTERNE REVISIONCOMPLIANCERISIKOMANAGEMENTEXTERNE DIENSTLEISTER
«Die ‹Ownership› für Risiken sollte nach wie vor formell wie auch kulturell in der ersten Linie liegen.»
«Hier könnte man wie im Formel 1-Geschäft anmerken, dass, trotz vieler Regeln und Aufseher, immer noch die
Fahrer die wichtigsten Entscheidungen treffen.»
22 I MAZARS & ZHAW
STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN
Bei der Differenzierung nach Geschäftsfeld ist auffallend, dass bei den Krankenversicherern einzelne Aufgaben aus-schliesslich vom Risikomanagement wahrge nommen wer-den (Abbildung 18). So beispielsweise die Entwick lung und Überwachung des Risikorahmenwerks sowie der Leit - linien. Des Weiteren zeigen die Rückmeldun gen der Teilneh-menden, dass die Interne Revision bei Kranken ver si cherern im Vergleich zu Rück-, Lebens- und Sachversicherern ein grösseres Aufgabenspektrum wahrnimmt. Bei den Rück-versicherungsunternehmen sticht die im Vergleich hohe Beteiligung von externen Dienstleistern im Vergleich zu
den anderen Gesellschaften ins Auge (Ab bil dungen 16 und 19). Mit jeweils über 40 % sind diese in die Validierung von Modellen und die Überprüf ung der Ord nungs mässigkeit aller Aktivitäten und Prozesse einge bunden. Auch das Einholen von unabhängigen Assu rance Berichten wird primär durch externe Dienst leister durchgeführt. Darüber hinaus ist das Aufgabenspektrum des Risikomanagements bei einigen Rückversicherern im Vergleich zu den Unternehmen anderer Sparten weniger breit. Eine mögli che Erklärung ist die verstärk te Tendenz, insbe sondere bei kleineren Rück ver- sicherern, Auf gaben zu externalisieren.
Abbildung 18: Abdeckung verschiedener Aufgaben durch Risikomanagement, Compliance, Interne Revision und externe Dienstleister bei Krankenversicherer (n=10)
100 100
0 0
10
100
40
20
10
100
20
0
80
10 10
0
20
40
60
80
100
KRANKENVERSICHERER
50
0
10 10
30
100
60
10
90
70
0
50
20 20
0
70
60
10
70
0
80
10
40 40
60
0
20
40
1010
30
10
0 0 0
20
30
EXTERNE DIENSTLEISTER INTERNE REVISIONCOMPLIANCERISIKOMANAGEMENTEi
nhol
en v
on e
xter
nen
Ass
uran
ce B
eric
hten
(wie
PS
950
Ber
icht
, IS
AE
3000
Rep
ort,
ISA
E 34
02 R
epor
t, U
S S
OC
Rep
ort)
Übe
rprü
fung
der
Ord
nung
smäs
sigk
eit
alle
r A
ktiv
itäte
n un
d P
roze
sse
Kon
trol
lprü
fung
(Tes
ting)
Kon
trol
ldur
chfü
hrun
g
Übe
rwac
hung
des
Ris
ikom
anag
emen
ts d
er e
rste
n Ve
rtei
digu
ngsl
inie
Übe
rprü
fung
der
Ein
halt
ung
von
Ges
etze
n, W
eisu
ngen
und
Reg
eln
Valid
ieru
ng v
on M
odel
len
Ber
atun
g de
r er
sten
Ver
teid
igun
gslin
ie b
ei R
isik
ofra
gen
Ber
atun
g de
s ob
erst
en O
rgan
s be
zügl
ich
Ris
iko-
/ R
endi
te-A
bwäg
unge
n
Ber
icht
erst
attu
ng ü
ber
die
Ris
ikol
age
Entw
ickl
ung
und
Defi
nitio
n vo
n R
isik
oind
ikat
oren
Entw
ickl
ung
und
Übe
rwac
hung
des
Ris
ikor
ahm
enw
erks
sow
ie d
er L
eitl
inie
n
Beu
rtei
lung
der
Wir
ksam
keit
und
Ang
emes
senh
eit d
es K
ontr
ollu
mfe
lds
Alle Angaben in Prozent
MAZARS & ZHAW I 23
Abbildung 19: Abdeckung verschiedener Aufgaben durch Risikomanagement, Compliance, Interne Revision und externe Dienstleister bei Rückversicherer (n=14)
79
29
21
7
86
21
79
36
29
14
86
43
7
0
93
14 14
0
20
40
60
80
100
RÜCKVERSICHERER
57
14
43
29
86
21
14
79
21
7
64
36
7 7
71
43 43
21
64
50
36
7
21
57
43
7
14
29
7 7
14 14
7
0 0
Einh
olen
von
ext
erne
n A
ssur
ance
Ber
icht
en (w
ie P
S 9
50 B
eric
ht, I
SA
E 30
00 R
epor
t, IS
AE
3402
Rep
ort,
US
SO
C R
epor
t)
Übe
rprü
fung
der
Ord
nung
smäs
sigk
eit
alle
r A
ktiv
itäte
n un
d P
roze
sse
Kon
trol
lprü
fung
(Tes
ting)
Kon
trol
ldur
chfü
hrun
g
Übe
rwac
hung
des
Ris
ikom
anag
emen
ts d
er e
rste
n Ve
rtei
digu
ngsl
inie
Übe
rprü
fung
der
Ein
halt
ung
von
Ges
etze
n, W
eisu
ngen
und
Reg
eln
Valid
ieru
ng v
on M
odel
len
Ber
atun
g de
r er
sten
Ver
teid
igun
gslin
ie b
ei R
isik
ofra
gen
Ber
atun
g de
s ob
erst
en O
rgan
s be
zügl
ich
Ris
iko-
/ R
endi
te-A
bwäg
unge
n
Ber
icht
erst
attu
ng ü
ber
die
Ris
ikol
age
Entw
ickl
ung
und
Defi
nitio
n vo
n R
isik
oind
ikat
oren
Entw
ickl
ung
und
Übe
rwac
hung
des
Ris
ikor
ahm
enw
erks
sow
ie d
er L
eitl
inie
n
Beu
rtei
lung
der
Wir
ksam
keit
und
Ang
emes
senh
eit d
es K
ontr
ollu
mfe
lds
Alle Angaben in Prozent
EXTERNE DIENSTLEISTER INTERNE REVISIONCOMPLIANCERISIKOMANAGEMENT
«Natürlich findet die Beratung und Revision objektgetrennt statt.»
«Unter dem Deckmäntelchen der Unabhängigkeit alles zu isolieren und zu separieren,
ist weder effizient, noch effektiv.»
«Es besteht die Gefahr, dass die Assurance Funktionen gemäss Buchstabe ‹unabhängig› sind,
dann aber keine Erfahrungen sammeln können und den Bezug zur Geschäftsrealität verlieren.»
«Damit gute Risikoentscheide getroffen werden, sollten alle Perspektiven vertreten sein,
genau darin besteht ja der Balance-Mechanismus.»
24 I MAZARS & ZHAW
STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN
Bei den Lebens- und Sachversicherern ist der Bereich Compliance verglichen mit Kranken- und Rückversiche-rungen stärker in die verschiedenen Aufgaben einge bun -den (Abbildungen 16 und 20). Hier zeigt sich, dass es ins-besondere zwischen Risikomanagement und Compliance zu einer Überschneidung der Aufgaben berei che kommt. Externe Dienstleister werden nur in sehr geringem Umfang mit den abgefragten Aufgaben betraut.
Rund 37 % der befragten Unternehmen gaben an, dass sie neben den genannten Kontrollfunktionen noch weitere Stellen, welche Risiko- und Kontrolltätigkeiten ausüben, umgesetzt haben. Hier wurden unter anderem Controlling - funktionen, IT-Funktionen, Datenschutz beauf tragte und Governance Einheiten genannt. Ebenfalls genannt wurden in diesem Zusammenhang Personaleinheiten.
Abbildung 20: Abdeckung verschiedener Aufgaben durch Risikomanagement, Compliance, Interne Revision und externe Dienstleister bei Lebens- / Sachversicherer (n=11)
0
20
40
60
80
100
LEBENS- / SACHVERSICHERER
100 100
91 91
100 100
73
36
91 91
73
64
45
36
55
45
55
73
14%
36 36
82 82 82
64
73
27
36
55
18
45
64
18
27
55
0 0 0
9 9 9
18 18
9 9
0 0 0 0
9
0 0
9
Einh
olen
von
ext
erne
n A
ssur
ance
Ber
icht
en (w
ie P
S 9
50 B
eric
ht, I
SA
E 30
00 R
epor
t, IS
AE
3402
Rep
ort,
US
SO
C R
epor
t)
Übe
rprü
fung
der
Ord
nung
smäs
sigk
eit
alle
r A
ktiv
itäte
n un
d P
roze
sse
Kon
trol
lprü
fung
(Tes
ting)
Kon
trol
ldur
chfü
hrun
g
Übe
rwac
hung
des
Ris
ikom
anag
emen
ts d
er e
rste
n Ve
rtei
digu
ngsl
inie
Übe
rprü
fung
der
Ein
halt
ung
von
Ges
etze
n, W
eisu
ngen
und
Reg
eln
Valid
ieru
ng v
on M
odel
len
Ber
atun
g de
r er
sten
Ver
teid
igun
gslin
ie b
ei R
isik
ofra
gen
Ber
atun
g de
s ob
erst
en O
rgan
s be
zügl
ich
Ris
iko-
/ R
endi
te-A
bwäg
unge
n
Ber
icht
erst
attu
ng ü
ber
die
Ris
ikol
age
Entw
ickl
ung
und
Defi
nitio
n vo
n R
isik
oind
ikat
oren
Entw
ickl
ung
und
Übe
rwac
hung
des
Ris
ikor
ahm
enw
erks
sow
ie d
er L
eitl
inie
n
Beu
rtei
lung
der
Wir
ksam
keit
und
Ang
emes
senh
eit d
es K
ontr
ollu
mfe
lds
Alle Angaben in Prozent
EXTERNE DIENSTLEISTER INTERNE REVISIONCOMPLIANCERISIKOMANAGEMENT
MAZARS & ZHAW I 25
Abbildung 21: Wichtigkeit der Aspekte zur Einhaltung der Unabhängigkeit der Kontrollfunktionen (n=35)
SEHR WICHTIGEHER WICHTIGWEDER NOCHEHER UNWICHTIGUNWICHTIG WEISS NICHT / NICHT BEURTEILBAR
0 20 40 60 80 100
Direkter Zugang zum Verwaltungsrat (bspw. Beisitz, Termin einberufen können)
3 % 3 % 31 % 63 %
Direktes Reporting an den Verwaltungsrat (mind. 1x jährlich)
3 % 23 % 74 %
Sicherstellung des Zugangs zu Ressourcen undInformationen
3 % 3 % 17 % 77 %
Trennung der Verantwortlichkeiten aufGeschäftsleitungsebene in den Bereichen Accounting, Asset-Management sowie IT von Risikomanagement
und Compliance
6 % 6 % 40 % 49 %
Unabhängigkeit des variablen Gehalts vom Ergebnis des zu überwachenden Geschäftsbereichs
3 % 9 % 14 % 40 % 34 %
In den per sönlichen Interviews wurde deutlich, dass die Defini tion und Umsetzung der Unabhängigkeit der Kontrollfunk tio nen Anlass zu Fragen und Diskussion gibt. Nicht hinterfragt wird die Wichtigkeit der Thematik, wie auch die Online Befragung bestätigt (Abbildung 21). Unklar ist, welche sich als beste Umsetzungspraxis eta-blieren soll. Alle abgefragten Aspekte wurden von der
Mehrheit als wichtig eingestuft. Des Weiteren wurde die Möglichkeit des direkten Zugangs zu Entscheidungs-trägern auch ausserhalb des Verwal tungs rats genannt. Eine Auswertung der Ergebnisse nach Geschäfts feld oder Aufsichtskatego rie brachte nur minimal abweichende Ergebnisse.
26 I MAZARS & ZHAW
STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN
Abbildung 22: Anteil Vollzeitäquivalente in den jeweiligen Funktionen nach Aufsichtskategorie (n=5, 17, 13)
0 20 40 60 80 100 0 20 40 60 80 100 0 20 40 60 80 100
QualitativesRisikomanagement
und interne Kontrolle
QuantitativesRisikomanagement
und Aktuariat
Compliance
IT-Sicherheit / IT-Assurance
Interne Revision
MEHR ALS 106-104-52-30-1
KATEGORIE 2 KATEGORIE 3 KATEGORIEN 4 & 5
40 % 38 % 19 % 13 % 25 % 6 %
20 %
40 %
20 %
60 %
20 % 20 %
80 % 19 % 50 % 31 %
25 %
20 %
20 % 64 % 24 % 6 % 6 %
75 % 29 % 29 % 41 %
60 % 13 % 44 % 31 % 6 % 6 %
70 %
69 % 31 %
77 %
20 % 10 %
15 % 8 %
85 % 15 %
38 % 38 % 15 % 8 %
0 20 40 60 80 100 0 20 40 60 80 100 0 20 40 60 80 100
QualitativesRisikomanagement
und interne Kontrolle
QuantitativesRisikomanagement
und Aktuariat
Compliance
IT-Sicherheit / IT-Assurance
Interne Revision
KRANKENVERSICHERER RÜCKVERSICHERER LEBENS- / SACHVERSICHERER
22 % 82 % 18 %
50 %
50 %
20 %
40 %
32 %11 %
80 % 54 % 23 % 18 % 18 %23 %
30 % 20 %
44 %
10 % 93 % 7 %
50 % 71 % 29 %
50 % 46 % 38 % 15 %
20 %
27 % 36 %
27 %
20 % 20 %20 % 20 %
18 % 36 % 9 %9 %
20 %10 %30 % 30 %10 %
9 % 36 % 9 % 45 %
MEHR ALS 106-104-52-30-1
Abbildung 23: Anteil Vollzeitäquivalente in den jeweiligen Funktionen nach Geschäftsfeld (n=10, 14, 11)
Gefragt nach den Vollzeitäquivalenten in den jeweiligen Funktionen ergab sich kein einheitliches Bild. Die Ab -bil dungen 22 und 23 veranschaulichen die jeweiligen Angaben. In dieser Frage wurde auch nach Mitarbei ten den im Bereich IT-Sicherheit und IT-Assurance gefragt, die im Vergleich aber einen geringen Anteil einneh men. Bei Analyse nach Aufsichtskategorie zeigt sich, dass kleinere Versicherer tendenziell am wenigsten Mit ar bei ten de
im Bereich Compliance aufweisen und am meisten Mitarbeitende im Bereich quantitatives Risiko mana - ge ment und Aktuariat. Grosse Versicherer haben in diesem Kontrollbereich zusammen mit Complian ce am meisten Mitarbeitende beschäftigt. Bei Untersuchung der einzelnen Geschäftsfelder konnten in Abhängigkeit von der Mitarbeiterzahl keine Auffälligkeiten festgestellt werden.
MAZARS & ZHAW I 27
AKTUELLE TRENDSAus Branchensicht zeichnet sich bei der Nachfrage nach aktuellen Trends in Bezug zur Weiterentwicklung des Mo dells der drei Verteidigungslinien ein einheit liches Bild ab (Abbildung 24). Die Reduktion der Kom plexi tät und der verstärkte Fokus auf Wesentlichkeit werden mit jeweils 83 % als wichtig bzw. sehr wichtig beurteilt. Die Umsetzung von Massnahmen zur Sicherstellung der Unabhängigkeit, ein Anliegen der Aufsicht, wird von 63 % als wichtig wahrgenommen.
Abbildung 24: Die wichtigsten aktuellen Trends in Bezug zur Umsetzung des Modells der drei Verteidigungslinien (n=35)
SEHR WICHTIGEHER WICHTIGWEDER NOCHEHER UNWICHTIGUNWICHTIG WEISS NICHT / NICHT BEURTEILBAR
0 20 40 60 80 100
20 %
Verstärkter Fokus auf Wesentlichkeit (bspw. Fokus auf Schlüsselkontrollen)
14 % 3 % 54 % 29 %
Direkte Berichterstattung der zweiten Linie an den Verwaltungsrat
11 % 3 % 26 % 37 % 23 %
Umsetzung von Massnahmen zur Sicherstellung der Unabhängigkeit der Kontrollfunktionen
11 % 11 % 14 % 47 % 17 %
Reduktion der Komplexität (bspw. Reduktion von unnötigen Kontrollen)
3 % 11 % 3 % 54 % 29 %
Vermehrte Beratungstätigkeit der dritten Linie14 % 14 % 17 % 34 % 17 % 4 %
Erhöhung der Ressourcen / des Budgets für Kontrolltätigkeiten
9 % 23 % 25 % 23 % 17 %
Klarere Trennung von Beratungs- und Kontrolltätigkeiten
9 % 14 % 31 % 26 % 17 %3 %
Vermehrte Beratungstätigkeit der zweiten Linie6 % 9 % 14 % 26 % 28 % 17 %
Aufbau von koordinierenden Funktionen (bspw. IT Governance, Zwischenlinien in den
Geschäftseinheiten)
9 % 3 % 17 % 14 % 37 %
Integriertes Reporting (gemeinsam, jedoch nicht abgestimmt)
3 % 6 % 20 % 14 % 34 % 23 %
Bessere Integration der verschiedenen Tätigkeiten3 % 3 % 14 % 14 % 43 % 23 %
3 %
«Die Geschäfts tätigkeit wird immer komplexer. Falls man beispielsweise mit Start-ups arbeitet,
muss man diese rechtzeitig ins Rahmenwerk einbinden.»
28 I MAZARS & ZHAW
STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN
Abbildung 25: Die wichtigsten aktuellen Trends in Bezug zur Umsetzung des Modells der drei Verteidigungslinien nach Geschäftsfeld (n=35)
Erhö
hung
der
Res
sour
cen
/ de
s B
udge
ts fü
r K
ontr
ollt
ätig
keite
n
Verm
ehrt
e B
erat
ungs
tätig
keit
der
zw
eite
n Li
nie
Inte
grie
rtes
Rep
ortin
g (g
emei
nsam
, je
doch
nic
ht a
bges
timm
t)
Auf
bau
von
koor
dini
eren
den
Funk
tione
n (b
spw
. IT
Gov
erna
nce,
Zw
isch
enlin
ien
inde
n G
esch
äfts
einh
eite
n)
Dir
ekte
Ber
icht
erst
attu
ng d
er z
wei
ten
Lin
ie a
n de
n Ve
rwal
tung
srat
Um
setz
ung
von
Mas
snah
men
zur
S
iche
rste
llung
der
Una
bhän
gigk
eit d
er K
ontr
ollf
unkt
ione
n
Bes
sere
Inte
grat
ion
der
ver
schi
eden
en T
ätig
keite
n
Red
uktio
n de
r K
ompl
exitä
t (bs
pw.
Red
uktio
n vo
n un
nötig
en K
ontr
olle
n)
Vers
tärk
ter
Foku
s au
f Wes
entl
ichk
eit
(bsp
w. F
okus
auf
Sch
lüss
elko
ntro
llen)
Stimmenicht zu
Stimme zu
Kla
rere
Tre
nnun
g vo
n B
erat
ungs
- un
d K
ontr
ollt
ätig
keite
n
Verm
ehrt
e B
erat
ungs
tätig
keit
der
dri
tten
Lin
ie
KRANKENVERSICHERER RÜCKVERSICHERER LEBENS- / SACHVERSICHERER
Wedernoch
Die abgefragten Trends werden von den Unternehmen unter Berücksichtigung des jeweiligen Geschäftsfeldes jedoch durchaus unterschiedlich beurteilt (Abbildung 25). So sehen Krankenversicherer in einem integrierten Reporting keinen aktuellen Trend, dies ist vor allem ein Thema bei Rück-, Lebens- und Sachversicherern. Analog, jedoch weniger deutlich ausgeprägt, entfällt die Beurteilung einer besseren Integration der verschiedenen Tätigkeiten. Umgekehrt ver-hält es sich bei der Beurteilung einer vermehrten Bera tungs - tätigkeit der dritten Linie. Hier erkennen Krankenversiche rer einen Trend, während dies bei Rück-, Lebens- und Sach- ver sicherern kein Thema ist.
«Wir wollen keine Kontroll- oder Massnahmen-leichen. Es geht uns um wesentliche Risiken, die wir rigoros mit adäquaten Kontrollen abdecken,
wir wollen keine Alibi-Kontrollen.»
«Eine Konsolidierung aller gängigen Tools wäre ein grosses Bedürfnis.»
«Wir beobachten, dass das Testing als Anforderung oder Best Practice ein Trend ist.»
MAZARS & ZHAW I 29
Abbildung 26: Die wichtigsten aktuellen Trends in Bezug zur Umsetzung des Modells der drei Verteidigungslinien nach Aufsichtskategorie (n=35)
Eine differenzierte Betrachtung ergibt sich auch bei Analyse der Trends nach Aufsichtskategorie (Abbildung 26). Hier beurteilen Unternehmen der Kategorie 2 die bessere Inte- gration der verschiedenen Tätigkeiten als deutlich wichtiger wie die anderen befragten Unternehmen. Umgekehrt geben sie der Trennung von Beratungs- und Kontroll tätig keiten weniger Gewicht.
KATEGORIEN 4 & 5KATEGORIE 3 KATEGORIE 2
Erhö
hung
der
Res
sour
cen
/ de
s B
udge
ts fü
r K
ontr
ollt
ätig
keite
n
Verm
ehrt
e B
erat
ungs
tätig
keit
der
zw
eite
n Li
nie
Inte
grie
rtes
Rep
ortin
g (g
emei
nsam
, je
doch
nic
ht a
bges
timm
t)
Auf
bau
von
koor
dini
eren
den
Funk
tione
n (b
spw
. IT
Gov
erna
nce,
Zw
isch
enlin
ien
inde
n G
esch
äfts
einh
eite
n)
Dir
ekte
Ber
icht
erst
attu
ng d
er z
wei
ten
Lin
ie a
n de
n Ve
rwal
tung
srat
Um
setz
ung
von
Mas
snah
men
zur
S
iche
rste
llung
der
Una
bhän
gigk
eit d
er K
ontr
ollf
unkt
ione
n
Bes
sere
Inte
grat
ion
der
ver
schi
eden
en T
ätig
keite
n
Red
uktio
n de
r K
ompl
exitä
t (bs
pw.
Red
uktio
n vo
n un
nötig
en K
ontr
olle
n)
Vers
tärk
ter
Foku
s au
f Wes
entl
ichk
eit
(bsp
w. F
okus
auf
Sch
lüss
elko
ntro
llen)
Kla
rere
Tre
nnun
g vo
n B
erat
ungs
- un
d K
ontr
ollt
ätig
keite
n
Verm
ehrt
e B
erat
ungs
tätig
keit
der
dri
tten
Lin
ie
Stimmenicht zu
Stimme zu
Wedernoch
30 I MAZARS & ZHAW
STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN
DIE VIER HANDLUNGSFELDER
1. Die Aufgaben der Kontrollfunktionen befinden sich im Wandel. Das Modell gibt dabei nur eine grobe Struktur vor. Versicherer sind angehalten, die organisatorische Einbettung der Kontrollfunktionen und deren Rollen, Kompe - tenzen und Verantwortlichkeiten bewusst klar zu definieren und zu kommunizieren. Eine Best Practice zeichnet sich zurzeit noch nicht ab, vielmehr sollten Versicherer eine ihrem Unternehmen ensprechende Organisation wählen, welche die übergeordneten Ziele der Unternehmens steuerung und Kontrolle optimal umsetzt.
2. In diesem Zusammenhang stellt sich auch die Frage nach der Anforderung an die Unabhängigkeit der Kontroll - funktionen. Die Studienteilnehmer anerkennen die Wichtigkeit von organisatorischen Massnahmen. Auch die Aufsicht misst der Unabhängigkeit der Kontroll funktionen einen hohen Stellenwert bei. Eine gemäss Papier zu rigide und formale Umsetzung der Unabhängig keitsanforderung birgt jedoch die Gefahr, den Sinn und Zweck des Modells zu untergraben. Die Zusammenarbeit der drei Linien ist essentiell und eine Beurteilung der Effek - ti vität sollte periodisch analysiert werden.
3. Der Einfachheit und Verständlichkeit des Modells als wichtigstem Nutzen, sowie der Rolle der Risikoeigner als wichtigste Verteidigungslinie, muss Sorge getragen werden. Dass vor diesem Hintergrund als wichtigste aktuelle Trends der Fokus auf Wesentlichkeit, die Reduktion der Komplexität sowie die bessere Inte gra tion der Kontrolltätigkeiten genannt werden, ist als positiv zu werten. Eine Fokussierung kann durch eine bereichs- übergreifende Diskussion und Definition der wesentlichen Bereiche gefördert werden.
4. Neue Risiken, alternative Geschäftsmodelle und Koope rationen, sowie verhaltens- oder kontextab hängige Versicherungslösungen, verändern zurzeit die Versiche rungs industrie. Das Modell sollte so umgesetzt werden, dass es einen optimalen Beitrag leistet zur Kultur und operativen Umsetzung einer risikoorientier ten Unter nehmens führung, die proaktiv und nachhaltig zum Erfolg des Unternehmens beiträgt und sich nicht in der Rolle der reaktiven Kontrolle begrenzt.
AUSBLICK UND HANDLUNGSFELDER
Schweizer Versicherer haben das Modell der drei Verteidigungslinien seit vielen Jahren etabliert. Die Zustimmung zum grund sätz lichen Nutzen des Modells ist gross, insbesondere leistet das Modell einen wichtigen Beitrag zur Förderung der Wichtigkeit und ganzheitlichen Umsetzung der Risikomanagementziele. Grössere Unternehmen sehen des Weiteren einen deutlichen Nutzen in der Institutionalisierung einer Balance von Risiko- / Kontrolle- gegenüber Ertrag / Rendite-Tätigkeiten. Letzteres entspricht auch dem Kernziel des Risikomanage - ments eines Versiche rungs unternehmens. Die in der Literatur geäusserte Kritik der Scheinsicherheit oder schwächere Stellung der zweiten gegenüber der ersten Linie scheint keine oder nur eine untergeordnete Rolle zu spielen.
MAZARS & ZHAW I 31
INTERVIEWPARTNER
Victor JansLeiter Interne RevisionCSS Versicherung, Luzern
Yvonne KaniowskaHead of Risk GovernanceBaloise Group, Basel
Stefan KönigStv. Leiter Qualitatives Risk ManagementHelvetia, St. Gallen
Dr. Jan KüpferHead Governance, Security & Compliance (Schweiz)Swiss Life, Zürich
Matthias KussRisk GovernanceAXA Schweiz, Winterthur
Bernd LangerHead of Operational Risk ManagementSCOR Switzerland, Zürich
Stephan MohrHead Internal AuditAllianz Suisse, Wallisellen
Sebastian PichlerChief Risk OfficerAllianz Suisse, Wallisellen
Stéphane ProginLeiter AssuranceCSS Versicherung, Luzern
Dr. Dominic RauHead Risk Governance & SteeringSwiss Re Management Ltd, Zürich
Simon SchneiderHead Internal AuditHelvetia, St. Gallen
Amal TeyebSenior Risk ManagerSwiss Re Management Ltd, Zürich
32 I MAZARS & ZHAW
STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN
VERWEISE
Arndorfer, I. & Minto, A. (2015).The «four lines od defence model» for financial institutions. FSI Occasional Paper No 11. Basel: Bank for International Settlements. https://www.bis.org/fsi/fsipapers11.pdf
COSO, The Committee of Sponsoring Organizations of the Treadway Commission and IIA, The Institute of Internal Auditors (2015). Leveraging COSO across the three lines of defense. https://www.coso.org/Documents/COSO-2015-3LOD.pdf
Davies, H., & Zhivitskaya, M. (2018). Three Lines of Defence: A Robust Organising Framework, or Just Lines in the Sand? Global Policy, 9 (June), 34–42. https://doi.org/10.1111/1758-5899.12568
Decaux, L. & Sarens, G. (2015). Implementing combined assurance: insights from multiple case studies. Managerial Auditing Journal, 30 (1), 59–79. https://doi.org/10.1108/MAJ-08-2014-1074
FINMA (2016). Rundschreiben 2017/2 Corporate Governance – Versicherer. https://www.finma.ch/de/~/media/finma/ dokumente/dokumentencenter/myfinma/ rundschreiben/finma-rs-2017-02.pdf?la=de
FINMA (2016). Rundschreiben zur Versicherungsaufsicht. Erläuterungsbericht. https://www.finma.ch/de/news/2016/05/20160531- mm-versicherungsaufsicht/
Sweeting, P. (2017). Financial Enterprise Risk Management. Cambridge University Press.
The Institute of Internal Auditors (2019). Three lines of defense. https://na.theiia.org/about-ia/PublicDocuments/ 3LOD-IIA-Exposure-Document.pdf
The Institute of Internal Auditors (2013). The three lines of defense in effective risk management and control. https://www.theiia.org/3-lines-defense
Zinnöcker, L. E.M. (2017). Corporate Governance für Versicherungen in der Schweiz – Ein Konzept zur internen Ausgestaltung und Umsetzung (Dissertation). Universität St. Gallen.
MAZARS & ZHAW I 33
AUTOREN
Angela Zeier RöschmannDr. oec. HSGDozentin und stellvertretende Leiterin des Zentrums für Risk & InsuranceZHAW School of Management and Law
Sebastian BarthM.A. HSGWissenschaftlicher Mitarbeiter am Zentrum für Risk & InsuranceZHAW School of Management and Law
Denise WipfDiplomierte Wirtschaftsprüferin und Leiterin des Bereichs Versicherung bei Mazars Schweiz
Fabienne MeienbergerDiplomierte WirtschaftsprüferinMazars Schweiz
Das Zentrum für Risk & Insurance (ZRI) ist das Kompetenzzentrum der ZHAW School of Management and Law für ökonomische und sozialwissenschaftliche Fragen im Bereich der Versicherungs-wirtschaft. Mit seinen Tätigkeiten in Aus- und Weiterbildung trägt es zur professionellen Qualifizierung von Fachleuten der Ver-sicherungsbranche bei. Als kompetenter Partner in Forschung und Beratung arbeitet es eng mit verschiedenen in- und aus- ländischen Institutionen zusammen.
Mazars ist eine internationale, integrierte und unabhängige Organisation, die auf Wirtschaftsprüfung, Buchhaltung, Steuer-, Rechts- und Beratungsdienstleistungen spezialisiert ist. Das Unternehmen beschäftigt mehr als 40.000 Mitarbeiter in 86 Ländern. Zu den Kunden gehören internationale Konzerne, KMUs, private Investoren sowie öffentliche Institutionen. Das Team von Mazars in der Schweiz besteht aus über 250 Experten in Bern, Zürich, Genf, Lausanne, Neuenburg, Freiburg, Delsberg und Sion. Mazars gehört in der Schweiz zu den Prüfgesellschaften, die über sämtliche Zulassungen der Eidgenössischen Revisionsaufsichtsbehörde RAB verfügt.
34 I MAZARS & ZHAW
STUDIE 2019 – EINBLICK IN DIE PRAXIS DER DREI VERTEIDIGUNGSLINIEN BEI SCHWEIZER VERSICHERERN
HERAUSGEBER
ZHAW School of Management and LawZentrum für Risk & InsuranceTechnoparkstrasse 2Postfach8401 WinterthurSchweiz
Mazars AGHerostrasse 128048 Zürich
KONTAKT
Angela Zeier Rö[email protected]
Denise [email protected]
Digitale Exemplare der Studie:www.zhaw.ch/zri
Copyright © 2019 ZHAW School of Management and Law und Mazars AGNovember 2019
Abdruck – auch auszugsweise – ist unter Angabe der Quelle erwünscht.