Compliance-Studie 2014 - EY · Trennung der Funktionen Recht/Legal und Compliance vermieden werden....

Compliance-Studie 2014 Aktuelle Trends, Herausforderungen und Benchmarks

3Compliance-Studie 2014 |2 | Compliance-Studie 2014

Wesentliche Erkenntnisse

Inhalt

Hintergrund 2

Wesentliche Erkenntnisse 3

1 Organisation der Compliance-Funktion 4

2 Ausgestaltung des Compliance

Management Systems 8

3 GDV-Verhaltenskodex 16

4 Solvency II 20

Ansprechpartner 23

Hintergrundit zunehmenden Regulierungsbestrebungen wird das Thema Compliance für die Unter-nehmen der Versicherungsbranche immer

bedeutender. Dies betrifft beispielsweise die VAG- Novelle, MaRisk VA und Solvency II, aber auch die EU-Vermittlerrichtlinie und das Geldwäschegesetz.

EY hat vor diesem Hintergrund eine deutschlandweite Studie im Versicherungsmarkt durchgeführt. 50 große Versicherungsunternehmen wurden kontaktiert und um ihre Selbsteinschätzung in Bezug auf Compliance- Themen gebeten.

Die Compliance-Beauftragten wurden zur Organisation der Compliance-Funktion in ihrem Unternehmen sowie der Konzeption und des Umsetzungsstandes ihres Compliance Management Systems (CMS) befragt. Darüber hinaus wurden die Implementierung des GDV- Verhaltenskodex und die Umsetzung der Solvency-II- Anforderungen erörtert.

Es wurden mehrheitlich geschlossene Fragestellungen verwendet, um eine möglichst eindeutige Auswertung zu ermöglichen.

Wir freuen uns über eine solide Rücklaufquote von knapp 35 Prozent und möchten uns an dieser Stelle noch einmal ausdrücklich bei allen teilnehmenden Versicherungsunternehmen bedanken.

Insgesamt schätzen die befragten Compliance-Verant-wortlichen den Umsetzungsstand bei den einzelnen Themen als entwicklungsfähig ein. Bei den meisten Themen wurde lediglich das Konzept dokumentiert und Maßnahmen entwickelt. Lediglich bezüglich Geld-wäsche und Datenschutz wurden die Maßnahmen auch umgesetzt.

Eine Konzeptions-, Angemessenheits- oder Wirksam-keitsprüfung des eigenen Compliance Management Systems nach IDW PS 980 hat bei nahezu keinem Unternehmen stattgefunden.

Knapp 80 Prozent der befragten Unternehmen sind dem GDV-Verhaltenskodex beigetreten. Die meisten dieser Versicherer haben bislang lediglich ein Soll- Objekt zur Umsetzung der Anforderungen entwickelt und nur vereinzelt bereits eine GAP-Analyse durchge-führt und Maßnahmen festgelegt. Handlungsbedarf wird vor allem in den Bereichen Vertriebssteuerung, Unabhängigkeit der Makler, Vermittlerqualifikation und Beratungsdokumentation gesehen.

Die Verantwortung für die Umsetzung der Fit & Proper- Anforderungen gemäß Solvency II und für eine zusam-menfassende Beschreibung des Governance-Systems wird nur teilweise bei der Compliance-Funktion gese-hen. Den Umsetzungsgrad der Anforderungen an die einzelnen Governance-Funktionen sowie zu ihrem Zu- sammenwirken betrachten die befragten Compliance- Verantwortlichen skeptischer als befragte Risiko- managementverantwortliche vergleichbarer Studien.

Alle Versicherungsunternehmen in Deutschland haben eine Compliance-Funktion etabliert. Diese ist zu knapp 60 Prozent in der Rechtsabteilung organisiert und verfügt zu 70 Prozent über maximal drei Mitarbei-terkapazitäten. Die Mehrheit der Compliance-Verant-wortlichen sieht diese Ressourcenausstattung als aus-reichend an.

►Die Ausgestaltung von Compliance Management Systemen wird vor allem durch neue regulatorische Anforderungen an das Risikomanagement (Solvency II und MaRisk VA) sowie an den Vertrieb (GDV-Verhal-tenskodex und EU-Vermittlerrichtlinie) beeinflusst.

Die Compliance-Funktion trägt bei den meisten Versicherern vor allem die Verantwortung für Anti- Korruption und Interessenskonflikte, Fraud/Betrug, Wettbewerbsrecht, Wertemanagement und Vertriebs-compliance.

Diese Themen haben auch besondere Bedeutung für die Versicherungsunternehmen. Weitere wichtige Compliance-Themen sind Datenschutz und Informati-onssicherheit, Geldwäsche/Terrorismusfinanzierung und Risikomanagement; diese Themen werden aber organisatorisch meist durch andere Bereiche verantwortet.

4 | Compliance-Studie 2014 5Compliance-Studie 2014 |

Organisation der Compliance-Funktion

Letztlich wird mit der Rückmeldung auch unterstrichen, was im Zusammenhang mit dem Thema Compliance in der jüngeren Ver-gangenheit breit und zum Teil auch kontrovers diskutiert wurde und wird: Ist der „to be compliant“-Ansatz nicht schon immer es-senzieller Bestandteil einer ordnungsmäßigen Geschäftsorganisa-tion? Was ist eigentlich neu daran?

Um das Ergebnis vorwegzunehmen, neu sind vorrangig der syste-mische Ansatz und die Bündelung als eigenständige Funktion in klarer Abgrenzung zu anderen Verantwortlichkeiten der 2. und 3. Verteidigungslinie des bekannten „three lines of defence model“, wie dies auch aus dem oben zitierten Ausschnitt der EU-Rahmen-richtlinie hervorgeht.

Vor diesem Hintergrund ist sicher unbestritten, dass ein 100-Pro-zent-Stand erst in der Zukunft liegt und das Thema Compliance in der Versicherungswirtschaft noch sehr unterschiedlich gelebt und mithin verstanden wird und sich inmitten einer Richtungsweisung und Entwicklung präsentiert.

Zunächst erscheint es überraschend, dass alle antwortenden Ver-sicherungsunternehmen angaben, über eine Compliance-Funktion zu verfügen, und zwar aus folgenden Gründen:

• ► Verbindliche und klare Vorgaben für die Versicherungswirt-schaft fehlen bis dato und die zwingende Einrichtung einer Compliance-Funktion ist erst mit Umsetzung von Solvency II gefordert: „Das Governance-System schließt die Risikomanage-ment-Funktion, die Compliance-Funktion, die Interne Revisions-funktion und die Aktuarielle Funktion mit ein.“

• ► Gemäß MaRisk BA (Bankenaufsicht) ist die Einrichtung einer Compliance-Funktion „erst“ für bzw. seit Ende 2013 und damit erst seit Kurzem verbindlich vorgeschrieben; in den derzeit gül-tigen MaRisk Versicherungen fehlt jedoch eine vergleichbare, bindende Vorgabe völlig.

Dennoch lässt sich das 100-Prozent-Ergebnis im Wesentlichen auf folgende Aspekte, die vereinzelt auch im Weiteren aufgegriffen werden, zurückführen und plausibel begründen:

• ► In der Auslegung, was unter einer Compliance-Funktion zu ver-stehen ist, bestehen große Freiheitsgrade, da es zurzeit noch an klaren und insbesondere versicherungsspezifischen Vorga-ben und Definitionen mangelt.

►Die Compliance-Funktion ist nicht gleichzusetzen mit der Verant-wortlichkeit für Compliance in einer Organisationseinheit. Viel-mehr ist im Sinne des IDW PS 980 bzgl. der Grundsätze ordnungs-mäßiger Prüfung von Compliance Management Systemen (CMS) die Compliance-Organisation ein (wesentlicher) Teilaspekt des CMS und der Begriff Compliance-Funktion wird in diesem Zusam-menhang gar nicht verwendet.

1 vgl. EU-Rahmenrichtlinie vom 25. November 2009, Erwägungsgrund (30), S. 12

1


großen Instituten eine Trennung dieser beiden Funktionen ver-langt und Compliance idealerweise als völlig eigenständige Ein-heit sieht (aufsichtsrechtlicher Regelfall). Die Motivation liegt in einem Interessenkonfliktpotenzial begründet. Dieser Sicht folgend hat die Abteilung Recht/Legal die Rolle eines Anwalts des Unter-nehmens, der vorrangig die Unternehmensinteressen gegen Drit-tinteressen zu verteidigen beabsichtigt. Compliance hingegen hat aus Sicht des Gesetzgebers und der Aufsicht, vergleichbar mit den übrigen Beauftragtenfunktionen eines Unternehmens (Geld-wäschebeauftragter, Datenschutzbeauftragter etc.), neben den internen Funktionen („to be compliant“) vorrangig auch der Kun-den-, Verbraucher- und Marktschutzfunktion nachzukommen und diese im Zweifel in der Abwägung gegen die internen Interessen zu stellen. Dieses Konfliktpotenzial kann in der Interpretation des Vorgehens der Aufsicht in idealer Weise nur durch eine strikte Trennung der Funktionen Recht/Legal und Compliance vermieden werden. Hingegen wird eine Anbindung an das Risikomanage-ment als nicht konfliktträchtig betrachtet und aufgrund der in bei-den Fällen risikoorientierten Ausrichtung als durchaus gut geeig-netes Organisationsmodell gesehen.

Angesichts der heute vorherrschenden Situation und des ander-weitig zu beobachtenden Trends der Aufsicht bleibt die Entwick-lung in der Versicherungswirtschaft abzuwarten und sehr span-nend. Vieles spricht jedoch dafür, dass der Anteil eigenständiger Compliance-Einheiten in der Versicherungswirtschaft stetig zu-nehmen wird.

Hinsichtlich der Mitarbeiterkapazitäten der Compliance-Funktio-nen zeigt das Studienergebnis, dass die heutige Compliance-Funk-tion in knapp einem Drittel der Unternehmen (31 Prozent) über einen Mitarbeiter, in gut einem weiteren Drittel (38 Prozent) über zwei bis drei und nur in insgesamt 16 Prozent der Fälle über

Vor dem Hintergrund der generell zunehmenden Bedeutung des Themas „Nachhaltiges und sozialverantwortliches Handeln als ehrbarer Kaufmann“ und des zunehmenden Drucks von gesetzli-cher und aufsichtsrechtlicher Seite hinsichtlich der Forderungen, über alle Geschäftsaktivitäten hinweg „compliant“ zu sein, er-scheint eine Prognose, dass sich die Entwicklung nachhaltig in Richtung einer obligatorischen und eigenständigen Complian-ce-Funktion und -Organisation entwickeln wird, wenig verwunder-lich. Wir erwarten im Rahmen der Versicherungsaufsicht eine ähnliche Entwicklung und mithin auch verbindliche Vorgaben wie im Fall der erwähnten Bankenaufsicht. Die Befragung zeigt, dass die Compliance-Funktion mit fast 60 Prozent und damit deutlich mehrheitlich in der Rechtsabteilung angesiedelt ist. Über eine eigenständige Abteilung verfügen nur 12 Prozent der rückmeldenden Versicherungsunternehmen. Da-neben gibt es in wenigen Fällen (5 Prozent) eine Anbindung an das Risikomanagement und in rund einem Viertel der Fälle (24 Prozent) eine Anbindung an andere Einheiten bzw. Abteilungen.Das Ergebnis ist insoweit nicht verwunderlich, als eine Eingliede-rung von Compliance in die Rechtsabteilung das über alle Bran-chen hinweg traditionell vorherrschende Organisationsmodell ist. Begründet ist dies in der Bündelung des juristischen Fachwissens eines Unternehmens in einer Einheit.

Gerade in diesem Punkt könnte aber auch der Blick auf die Ent-wicklung in der Kreditwirtschaft aufschlussreich sein. Nicht selten war und ist die Ausgangssituation bei vielen Banken nicht anders als derzeit bei den Versicherungsunternehmen. Hier zeigt sich je-doch, dass die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) schon bei den mittelgroßen und bedingungslos bei den

mehr als sieben Mitarbeiter verfügt. Die nachfolgende Abbildung verdeutlicht, dass die Studienteilnehmer dies mit fast 60 Prozent mehrheitlich als für ihr jeweiliges Haus angemessen beurteilen. Eine generelle Vorgabe hinsichtlich einer angemessenen (quanti-tativen) Mitarbeiterausstattung der Compliance-Funktion gibt es weder seitens des Gesetzgebers noch seitens der Aufsicht oder von Wirtschaftsprüfern und wird es vermutlich auch nicht geben, da die jeweiligen unternehmensspezifischen Anforderungen und Notwendigkeiten nicht vergleichbar sind und eine individuelle Ausprägung gemäß dem aufsichtsrechtlichen Proportionalitäts-prinzip erfordern.

Dennoch sollte bei entsprechenden Überlegungen folgende Sicht-weise nicht unberücksichtigt bleiben. Der Governance-Ansatz aus Solvency II sieht auf der 2. Verteidigungslinie gleichrangig drei zentrale Funktionen: die Risikomanagement-, die Aktuarielle und die Compliance-Funktion. Erweitert wird dieses Kontrollkonzept durch die unabhängige Interne Revision auf der 3. Verteidigungs-linie. Im Zusammenwirken dieser risikoüberwachenden, risiko-steuernden und kontrollierenden Einheiten sollte es hinsichtlich personeller Ausstattung jedoch keinen offensichtlichen „Mis-match“ – in diesem Fall im Abgleich zur Compliance-Funktion – geben.

Dem makroökonomischen Zeitgeist, der allgemeinen Branche-nentwicklung und dem Agieren des Gesetzgebers und der Auf-sicht folgend, sehen wir in der Versicherungswirtschaft insgesamt einen grundsätzlichen und stetigen Trend zu mehr, zu eigenstän-digen und zu personell anwachsenden Compliance-Funktionen bzw. -Organisationen.

Bereich, in dem die Compliance- Funktion angesiedelt ist

12%

Eigene Abteilung

59%

Rechtsabteilung

5%

Risikomanagement

24%

Sonstiges

Compliance-Funktion ist mit angemessenen Kapazitäten ausgestattet

nein 59%

ja 41%

Mitarbeiterkapazitäten der Compliance-Funktion

1 2-3 4-6 7-10 11-15 16-22 >20 Mitarbeiter

1

31% 38% 15% 8% 0% 0% 8%

• ► Code of Conduct• ► Schulungen und Information• ► Compliance als Arbeitshilfe• ► Ganzheitliches Grundverständnis• ► Compliance als Grundpfeiler

der Unternehmenspraxis• ► Förderung der Compliance

in Unternehmenspraxis

• ► Unternehmenskodex• ► Regeln• ► Richtlinien• ► Gesetzesinformation und

Erläuterungen• ► Prozesskontrollen• ► Compliance-Audit• ► Consequence-Management

Rule-based Compliance

Behaviour-basedCompliance


Das Themenspektrum, das durch Compliance abgedeckt werden kann, ist vielfältig und reicht grundsätzlich von A wie Arbeitsrecht bis Z wie Zollcompliance. Umso wichtiger ist es für Unternehmen, im Rahmen einer Compliance-Risikoanalyse die für sie wesentli-chen Compliance-Themen zu identifizieren. Dies zeigt sich auch in der durchgeführten Studie. Hier wird deutlich, dass das Thema „Risikoidentifikation und -bewertung“ eine hohe Bedeutung hat.

Inhaltlich sehen die befragten Versicherungsunternehmen bei der Datenschutz und Informationssicherheit sowie in der Vertriebs-compliance die wesentlichen Compliance-Risikobereiche. Diese Ergebnisse spiegeln die besonderen branchenspezifischen Risiko-felder der Versicherungswirtschaft wider.

Mit den Themenfeldern „Wettbewerbsrecht“, „Anti-Korruption und Interessenkonflikte“ sowie „Fraud/Betrug“ folgen mit mittle-rer bis hoher Bedeutung klassische Compliance-Themenfelder, die grundsätzlich für alle Branchen Relevanz haben.

Dem Thema „Wertemanagement und Integrität“ messen die be-fragten Unternehmen nur eine mittlere Bedeutung zu. In der Pra-xis zeigt sich jedoch branchenübergreifend, dass dieses Thema zunehmend an Bedeutung gewinnt. Während in den Anfangszei-ten von Compliance Management Systemen ein Schwerpunkt auf Regeln und Richtlinien sowie auf der Haftungsvermeidung lag, wird Compliance mittlerweile als umfassende Managementauf-gabe gesehen. Compliance wird immer mehr zu einem Instrument guter Unternehmensführung und damit auch des Wertemanagements.

Auch wenn Compliance grundsätzlich die Einhaltung aller Gesetze sowie aller internen Regeln und Richtlinien umfasst, sind nicht alle Themenbereiche, die dieser Definition genügen, der Complian-ce-Funktion im Unternehmen zuzuordnen. So wird es in Unterneh-men regelmäßig Fachabteilungen geben, welche die Compliance in ihrem Fachgebiet sicherstellen. Beispielsweise ist das Thema „Financial Statement Compliance“ regelmäßig Aufgabe der Buch-haltungs- bzw. Accounting-Abteilung und die „Tax Compliance“ Aufgabe der Steuerabteilung und nicht der Compliance-Funktion. Auch in den Themenfeldern, die nicht so eindeutig wie die genannten Beispiele abgegrenzt werden können, gibt es klare Trends der Zuordnung von thematischen Teilbereichen.

Ausgestaltung des Compliance Management Systems

Bedeutung folgender Compliance-Themen für das Versicherungsunternehmen

1 - Keine Bedeutung2 - Geringe Bedeutung3 - Mittlere Bedeutung4 - Hohe Bedeutung5 - Sehr hohe Bedeutung 1,0 2,0 3,0 4,0 5,0

Anti-KorruptionundInteressenskonflikte

Wettbewerbsrecht

Datenschutz und Informationssicherheit

Vertriebscompliance

Finanzsanktionen

Geldwäsche/Terrorismusfinanzierung

Fraud/Betrug

WpHG Compliance

Bilanzmanipulation

Wertemanagement und Integrität

Risikomanagement

3,6

3,6

4,4

4,3

2,9

3,3

3,7

2,6

2,6

3,4

4,2

2


Für alle anderen Bereiche gilt, dass hier im Schnitt maximal eine mittlere Entwicklung vorliegt, verbunden mit dem entsprechen-den Entwicklungs- und Verbesserungspotenzial.

Der Entwicklungsstand von „Vertriebscompliance“ sowie „Werte-management und Integrität“ wird nahezu gleichermaßen gering eingeschätzt. Für die „Vertriebscompliance“ lässt sich diese Ein-schätzung mit der derzeit hohen Wahrnehmung dieses Themen-feldes durch die Neufassung des GDV-Verhaltenskodex erklären. Die große Bedeutung des Themas, verbunden mit verschiedenen Fragestellungen der konkreten Umsetzung, führt dazu, dass hier das Verbesserungspotenzial entsprechend hoch eingeschätzt wird.

Wie bereits oben beschrieben, hat die Wahrnehmung von „Werte-management und Integrität“ und deren Bedeutung innerhalb von CMS in den letzten zwei bis drei Jahren stetig zugenommen. Dieser Trend ist auch durch die medienwirksamen Compliance- Vorfälle der jüngeren Vergangenheit bedingt, die Fehlverhalten hinsichtlich Integrität und Werten zum Gegenstand hatten und mit großem Reputationsverlust für die betroffenen Unternehmen einhergingen, ohne strafrechtlich relevant zu sein. Der aktuelle

Die Ergebnisse unserer Studie zeigen, dass die Compliance-Funk-tion in nahezu allen befragten Unternehmen (94 Prozent) für den Teilbereich „Anti-Korruption und Interessenkonflikte“ verant-wortlich ist. Auch „Fraud/Betrug“ ist in 88 Prozent der befragten Unternehmen bei Compliance angesiedelt. „Wertemanagement und Integrität“ beschäftigt in 82 Prozent der befragten Unterneh-men die Compliance-Funktion. Auch „Wettbewerbsrecht“ ist beim Großteil der Befragten (82 Prozent) Compliance zugeordnet. Hier wird aber schon deutlich, dass bei knapp 20 Prozent der befragten Unternehmen dieser Teilbereich thematisch von einer anderen Fachabteilung, in der Regel von der Rechtsabteilung, betreut wird.

„Vertriebscompliance“ ist bei gut zwei Dritteln der Versicherungs-unternehmen Aufgabe der Compliance-Funktion. Die Tendenz, diese Aufgabe der Compliance-Funktion zuzuordnen, wird mit dem neugefassten GDV-Verhaltenskodex weiter zunehmen.

Für alle anderen abgefragten Teilbereiche wird deutlich, dass diese beim Großteil der befragten Unternehmen außerhalb der Verantwortung von Compliance liegen. Dies lässt sich vor allem dadurch erklären, dass sich diese Teilbereiche in der Regel thema-tisch sehr gut abtrennen lassen und hier auch Spezialwissen ge-fragt ist.

Die Studie zeigt, dass das CMS in den Bereichen „Datenschutz und Informationssicherheit“ sowie „Geldwäsche/Terrorismusfi-nanzierung“ den höchsten Entwicklungsstand aufweist. Ebenso ist das Risikomanagement, das eine wesentliche Grundlage des CMS bildet, bereits weit ausgebildet.

Entwicklungsstand des CMS nach Themen

1 - Kaum entwickelt2 - Konzeption vollständig und dokumentiert3 - Maßnahmen entwickelt und Angemessenheit überprüft4 - Maßnahmen vollständig implementiert5 - Wirksamkeit der Maßnahmen überprüft

1,0 2,0 3,0 4,0 5,0


Wettbewerbsrecht


Vertriebscompliance

Finanzsanktionen


Fraud/Betrug

WpHG Compliance

Bilanzmanipulation


Risikomanagement

2,4

2,3

3,6

2,3

2,0

3,4

3,0

2,8

2,1

2,0

3,6

0% 20% 40% 60% 80% 100%


Wettbewerbsrecht


Vertriebscompliance

Finanzsanktionen


Fraud/Betrug

WpHG Compliance

Bilanzmanipulation


Risikomanagement

94%

82%

35%

71%

35%

29%

88%

35%

18%

82%

29%

Zuordnung von Teilbereichen der Compliance-Funktion

Trend, Compliance Management Systeme hin zu Wertemanage-mentsystemen zu entwickeln, sowie die Fälle von Fehlverhalten in diesen Bereichen erklären den hier wahrgenommenen Entwicklungsbedarf.

Bemerkenswert ist an dieser Stelle, dass es keinen direkten Zu-sammenhang zwischen stark regulierten Themenfeldern und dem Entwicklungsstand gibt. Dies zeigt auch an dieser Stelle deutlich, dass ein Bestehen oder Verweis auf gesetzliche Regelungen nicht ausreicht, sondern im Unternehmen Grundsätze und Maßnahmen etabliert sein müssen, die diese Anforderungen umsetzen.

2


Im Bereich des Compliance-Programms zeigt sich, dass der größte Entwicklungsbedarf in zielgruppengerechten Trainings besteht.

Mit dem Prüfungsstandard 980 des Instituts der Wirtschaftsprü-fer in Deutschland e. V. (IDW) „Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen“ (IDW PS 980) gibt es seit 2011 einen einheitlichen Rahmen, nach dem CMS

Zusammengefasst lässt sich hinsichtlich des Entwicklungsstandes von CMS auf der Basis unserer Studie feststellen, dass in allen Be-reichen bereits mit der Erarbeitung von Konzeptionen begonnen wurde und erste Grundsätze und Maßnahmen implementiert sind. Der größte Entwicklungsbedarf wird im Bereich der stetigen Über-wachung und Verbesserung des CMS gesehen, während die Com-pliance-Kultur bereits am weitesten entwickelt ist.

1 - Erste konzeptionelle Überlegungen2 - Konzept fertiggestellt3 - Implementierung vorangeschritten4 - Vollständig implementiert5 - Kontinuierliche Weiterentwicklung sichergestellt

Compliance-Kultur

Compliance-Ziele

Compliance-Organisation

Compliance-Risiken

Compliance-Programm

Compliance-Kommunikation

Compliance-Überwachung/Verbesserung

3,2

2,7

3,0

3,1

2,4

2,4

2,3

1,0 2,0 3,0 4,0 5,0

Erfüllung von CMS-Anforderungen nach Kategorien

Erfüllung der Anforderungen zum Compliance-Programm

1 - Erste konzeptionelle Überlegungen2 - Konzept fertiggestellt3 - Implementierung vorangeschritten4 - Vollständig implementiert5 - Kontinuierliche Weiterentwicklung sichergestellt

durch einen unabhängigen Dritten geprüft werden können. Unsere Studie zeigt, dass sich die große Mehrheit (88 Prozent) der befragten Versicherungsunternehmen bisher keiner Prüfung des CMS nach IDW PS 980 unterzogen hat. Mit der Prüfungs-pflicht, die der neu gefasste GDV-Verhaltenskodex für die Beitrittsunternehmen konstituiert, wird sich hier in den nächsten Jahren für die Prüfung des Teilbereichs Vertrieb ein signifikanter Anstieg ergeben.

2

Hinweisgeberstelle

Zielgruppengerechte Compliance-Trainings

Festlegung von Maßnahmen für den Fall von Compliance-Verstößen

Compliance-Programme für alle wesentlichen Compliance-Risiken

Entwicklung von Grundsätzen und Maßnahmen zur Minderung von Compliance-Risiken

1,0 2,0 3,0 4,0 5,0

2,5

1,9

2,5

2,5

2,5


Der IDW PS 980 sieht drei aufeinander aufbauende Prüfungsty-pen vor. Diese haben mit der CMS-Beschreibung den Prüfungsge-genstand gemein, unterscheiden sich aber hinsichtlich der Prüfungstiefe:

Die befragten Versicherungsunternehmen, die sich bisher einer Prüfung nach IDW PS 980 unterzogen haben, haben hier entwe-der die Konzeptions- oder die Wirksamkeitsprüfung gewählt. Eine (separate) Prüfung der Angemessenheit und Implementierung ist bisher nicht erfolgt. Da der GDV-Verhaltenskodex nur die Angemessenheits- oder Wirksamkeitsprüfung als Prüfungstypen vorsieht, ist damit zu rechnen, dass sich eine Vielzahl der Bei- trittsunternehmen – zumindest für den ersten Prüfungsturnus – für eine Angemessenheitsprüfung entscheiden wird.

Derzeit gibt es eine Reihe aktueller Themen bzw. regulatorischer Veränderungen, welche Auswirkungen auf die Ausgestaltung und auch Bedeutung der Compliance-Organisation und von CMS ha-ben können.

Durch Solvency II wird neben Risikomanagement, Versicherungs-mathematik und Interner Revision auch Compliance als „Kernfunktion“ eingeführt. Die vier Funktionen sollen des Weite-ren eine integrierte organisatorische Governance-Struktur bilden. Neben der Einrichtung der Compliance-Funktion ist somit auch eine angemessene Verzahnung und Schnittstellendefinition der vier Funktionen sicherzustellen. Die Studie zeigt, dass Solvency II

Themen von besonderer Bedeutung für das CMS1 - Keine Bedeutung2 - Geringe Bedeutung 3 - Mittlere Bedeutung4 - Hohe Bedeutung5 - Sehr hohe Bedeutung

EU-Vermittlerrichtlinie

GDV-Verhaltenskodex

MaRisk VA

Solvency II Interim Measures

FACTA

EU-Geldwäscherichtlinien/Geldwäschegesetz (GVG)

UK Bribery Act

3,7

4,1

3,9

4,3

2,9

3,1

2,0

1,0 1,5 2,0 2,5 3,0 3,5 4,0 4,5 5,0

Wirksamkeitsprüfung Angemessenheitsprüfung Konzeptionsprüfung

Prüfung der Angemessenheit, der Implementierung und der Wirksamkeit

Prüfung der Angemessenheit, der Implementierung

Prüfung der Konzeption

• ► Sind die Grundsätze und Maßnahmen des CMS in allen wesentlichen Belangen zutreffend dargestellt? Sind alle Grundelemente umfasst und angemessen ausgestaltet?

• ► Sind sie zu einem bestimmten Zeit-punkt implementiert und in einem bestimmten Zeitraum wirksam?

• ► Sind die Grundsätze und Maßnahmen des CMS in allen wesentlichen Belangen zutreffend dargestellt? Sind alle Grundelemente umfassend und angemessen ausgestaltet?

• ► Sind sie zu einem bestimmten Zeit-punkt implementiert?

• ► Ist die Konzeption des CMS in wesentlichen Belangen zutreffend dargestellt?

• Umfasst die Beschreibung sämtliche Grundelemente eines CMS?

50% der Befragten 0% der Befragten 50% der Befragten

von den befragten Versicherungsunternehmen als bedeutendste Veränderung eingeschätzt wird. Kaum weniger Bedeutung mes-sen die Befragten dem neuen GDV-Verhaltenskodex zu. Dieser fordert neben angemessenen Grundsätzen und Maßnahmen zur Umsetzung seiner Anforderungen auch eine regelmäßige Prüfung der Umsetzung durch einen Wirtschaftsprüfer. Somit hat auch dieser Kodex erhebliche Auswirkungen auf CMS bei Versiche-rungsunternehmen. Der Unterschied zu gesetzlichen und regula-torischen Vorgaben ist, dass es sich beim GDV-Verhaltenskodex um eine freiwillige Selbstverpflichtung handelt. Direkt wirkt er sich folglich nur auf die Beitrittsunternehmen aus. Mittelfristig wird er jedoch Ausstrahlungswirkung auf die gesamte Branche haben.

2


Versicherungsunternehmen und Pensionsfonds mit Geschäftstä-tigkeit (ohne Rückversicherer), gemessen an den Beitragseinnah-men aber einem Anteil von über 70 Prozent.

Den Trend zur Anerkennung und Bedeutung des GDV-Verhaltens-kodex spiegeln auch die Ergebnisse unserer Befragung wider. 76 Prozent der befragten Unternehmen geben an, dass der Betritt zum GDV-Verhaltenskodex bereits erfolgt sei.

3.2 Umsetzungsstand der Anforderungen des GDV-Verhaltenskodex

Es gibt keine Standardumsetzung der Anforderungen und auch kein Standard-CMS für den Teilbereich Vertrieb. Die Anforderun-gen des GDV-Verhaltenskodex einerseits, aber auch die des IDW PS 980 als Prüfungsmaßstab andererseits bedürfen somit einer unternehmensindividuellen Auslegung. Das bedeutet konkret, dass aus den generischen Vorgaben der beiden Standards auf der Basis der Komplexität des Geschäftsmodells, des rechtlichen und wirtschaftlichen Umfelds, der Vermittlertypen und Vertriebswege,

Seit dem 1. Juli 2013 können Versicherungsunternehmen dem im November 2012 überarbeiteten Verhaltenskodex des Gesamtver-bandes der Deutschen Versicherungswirtschaft (GDV) beitreten. Mit dem weiterentwickelten Kodex dokumentiert der GDV den An-spruch der Versicherungswirtschaft an eine gute und faire Bera-tung und setzt neue Schwerpunkte auf Integrität, Compliance, Qua-lität der Beratung und Qualifikation der Vermittler. Das Vertrauen in den Kodex soll durch eine regelmäßige Prüfung der Umsetzung und gegebenenfalls Einhaltung der Anforderungen des GDV-Ver-haltenskodex durch einen Wirtschaftsprüfer weiter gestärkt wer-den. Versicherungsunternehmen, die den Kodex als verbindlich an-erkennen, sind nach dessen Neufassung deswegen verpflichtet, sich im Zweijahresturnus einer Prüfung durch einen Wirtschafts-prüfer zu unterziehen. Diese Prüfung kann sich auf die Angemes-senheit und/oder die Wirksamkeit der eingeführten Grundsätze und Maßnahmen beziehen. Maßstab und Rahmen für diese Prü-fung ist der Prüfungsstandard 980 des Instituts der Wirtschafts-prüfer in Deutschland e. V. (IDW) „Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen“ (IDW PS 980).

3.1 Beitritt zum GDV-Verhaltenskodex

Nach Angaben des GDV waren bis Ende September 2013 147 Versicherungsunternehmen dem neu gefassten Verhaltenskodex beigetreten. Bis Februar 2014 hat sich die Anzahl der Beitrittsun-ternehmen bereits auf 163 erhöht, womit auch die Akzeptanz und Marktdurchdringung des Verhaltenskodex weiter zunahm. Die Beitrittsunternehmen entsprechen zwar „nur“ einem Anteil von ca. 30 Prozent aller in Deutschland zugelassenen

der Größe sowie gegebenenfalls weiterer Faktoren, welche die individuelle Risikosituation beeinflussen, für das jeweilige Versi-cherungsunternehmen individuelle Grundsätze und Maßnahmen abzuleiten sind.

Somit beginnt die Umsetzung mit der Definition des Zielbildes anhand unternehmensspezifischer Anforderungen. Die durchge-führte Studie zeigt, dass alle Versicherungsunternehmen, die an der Befragung teilgenommen und ihren Beitritt zum GDV-Ver- haltenskodex erklärt haben, diese Phase begonnen oder bereits abgeschlossen haben. 77 Prozent dieser Unternehmen sind mit der Aufnahme der vorhandenen Grundsätze und Maßnahmen in ihrem Unternehmen und der Gegenüberstellung zum Zielbild (GAP-Analyse) zur Ableitung von Handlungsbedarf bereits einen Schritt weiter. 38 Prozent der befragten Unternehmen haben den im Rahmen der GAP-Analyse identifizierten Handlungsbedarf in konkrete Maßnahmen überführt und befinden sich im Prozess der Implementierung und somit der letzten Stufe der Vorbereitung auf eine entsprechende Prüfung. 15 Prozent der befragten Unter-nehmen haben zum Zeitpunkt der Studie den Vorbereitungspro-zess bereits komplett abgeschlossen und befinden sich in der Prüfung des CMS für den Teilbereich Vertrieb.

2 Vgl. Pressemitteilung des GDV vom 1. Oktober 2013, http://www.gdv.de/wp-content/ uploads/2013/10/GDV_Pressemitteilung_ Verhaltenskodex_2013.pdf

3 Vgl. GDV-Beitrittsliste Stand Februar 2014, http://www.gdv.de/wp-content/uploads/2014/02/ Verhaltenskodex_Vertrieb_Liste_beigetretener_ Unternehmen_Feb_14.pdf

4 Vgl. Gesamtliste aller in Deutschland zugelassenen Versicherungsunternehmen und Pensionsfonds mit Geschäftstätigkeit der BaFin, Stand 17. Februar 2014.

5 Vgl. Pressemitteilung des GDV vom 1. Oktober 2013, http://www.gdv.de/wp-content/ uploads/2013/10/GDV_Pressemitteilung_ Verhaltenskodex_2013.pdf

GDV-Verhaltenskodex

Beitritt zum GDV-Verhaltenskodex

ja 76%

nein 24%

3

Umsetzungsstand des GDV-Verhaltens- kodexes

1009080706050403020100

Prüfung des CMS für den Teilbereich Vertrieb und die Umsetzung der Anforderungen des GDV-Verhaltens- kodex gemäß IDW PS 980

Festlegung von Grundsätzen und Implementierung der Handlungs- maßnahmen

Durchführung einer GAP- Analyse und Festlegung von Handlungs- maßnahmen

Ableitung des Zielbildes anhand unternehmens-spezifischer Anforderungen sowie des Kodexes und des IDW PS 980

%

100%

77%

39%

15%


3.4 Bereiche mit besonderem Handlungsbedarf im Themenfeld „Vertriebscompliance“

Der GDV-Verhaltenskodex soll zur Stärkung der Kundeninteres-sen sowie des Vertrauens in Versicherungsprodukte und den Be-ratungsprozess beitragen. Die Themenfelder, die der GDV-Verhal-tenskodex im Rahmen der „Vertriebscompliance“ definiert, gehen über die klassischen Bestandteile des Vertriebsprozesses hinaus. Sie umfassen mit der Produktentwicklung Bereiche, die dem ei-gentlichen Vertriebsprozess vorgelagert sind, und mit der Bera-tung nach Vertragsabschluss und der Schaden- und Leistungsbe-arbeitung Bereiche, die ihm nachfolgen.

Zum einen wiederholt der GDV-Verhaltenskodex gesetzliche Er-fordernisse, zum anderen versucht er mit seinen Leitlinien Grund-sätze für gewünschte Verhaltensweisen festzulegen. Dies ließe die Schlussfolgerung zu, dass insbesondere in den Bereichen, für die es keine gesetzlichen Regelungen gibt, von den Versiche-rungsunternehmen Handlungsbedarf identifiziert wird.Der Handlungsbedarf in den verschiedenen Bereichen wird von den Befragten wie folgt eingeschätzt: Das Thema „Vertriebssteuerung“ mit der Frage, inwieweit Fehlan-reize aus Provisions- und Vergütungsmodellen dem Kundeninter-esse entgegenstehen könnten, wird von den Befragten als der Themenbereich mit dem größten Handlungsbedarf angesehen. Dieses Ergebnis ist nicht überraschend, basiert der Versiche-rungsvertrieb doch hauptsächlich auf umsatzabhängigen Vergü-tungen. Auch gibt es hier keine konkreten gesetzlichen Vorgaben, wie Versicherer gegenüber ihren Vermittlern zu verfahren haben.

3.3 Prüfung der Umsetzung des GDV-Verhaltenskodex

Wie bereits beschrieben, konstituiert der neu gefasste Verhal-tenskodex die Verpflichtung, dass die Umsetzung der Anforderun-gen aus dem Kodex alle zwei Jahre durch einen Wirtschaftsprüfer zu prüfen ist. Hierdurch demonstriert der GDV die Verbindlichkeit des Kodex und macht diese Prüfung zur Voraussetzung einer Mit-gliedschaft im GDV-Verhaltenskodex. Mit der Prüfung können Ver-sicherungsunternehmen auch den Wirtschaftsprüfer beauftragen, der (gesetzlicher) Abschlussprüfer ist. Es gibt hierfür keine Ausschlussgründe.

Für und gegen die Beauftragung des Abschlussprüfers mit der Prüfung der Umsetzung der Anforderungen aus dem GDV-Verhal-tenskodex gibt es gute Argumente. So kennt der Abschlussprüfer das Versicherungsunternehmen, das Geschäftsmodell, dessen Prozesse und Strukturen sowie die Ablauf- und Aufbauorganisa-tion bereits aus der Abschlussprüfung. Vorhandene Grundlagen können genutzt werden und sollen so sowohl für das Versiche-rungsunternehmen als auch für den Prüfer zu Effizienzgewinnen führen. Andererseits kann damit auch eine gewisse „Betriebs-blindheit“ verbunden sein, was für die Beauftragung eines Wirt-schaftsprüfers spricht, der nicht gleichzeitig Abschlussprüfer ist.Auch die Ergebnisse unserer Studie spiegeln dieses recht ausge-wogene Bild der Argumente wider. So spricht sich mit 62 Prozent eine kleine Mehrheit der befragten Unternehmen dafür aus, den Abschlussprüfer mit der Prüfung des GDV-Verhaltenskodex beauf-tragen zu wollen, dagegen werden 38 Prozent mit dieser Prüfung nicht den Abschlussprüfer betrauen.

In engem Zusammenhang mit dem Thema „Vertriebssteuerung“ steht auch das Thema „Unabhängigkeit der Makler“, das an drit-ter Stelle genannt wurde. Hier ist ebenfalls sicherzustellen, dass insbesondere die Vergütungsstrukturen der unabhängigen Bera-tung durch Makler nicht entgegenstehen. Auch hier gibt es keine konkreten gesetzlichen Vorgaben und das Thema wird aufgrund des Risiko- und Konfliktpotenzials sowie der medienwirksamen Vorfälle der Vergangenheit als ein Feld mit Verbesserungsbedarf wahrgenommen.

Durch den GDV-Verhaltenskodex und die Initiative „Gut beraten“ besteht auch hinsichtlich der Vermittlerqualifikation eine erhöhte Wahrnehmung, auch bezüglich des Weiterentwicklungsbedarfs.Interessant ist, dass die „Beratungsdokumentation“ als der Be-reich genannt wird, in dem nach der „Vertriebssteuerung“ und der Verbesserung der „Vermittlerqualifikation“ der meiste Hand-lungsbedarf gesehen wird. Hier zeigt sich, dass gesetzliche Rege-lungen alleine nicht ausreichen. Vielmehr bedarf es der Akzep-tanz solcher Regelungen, damit diese Eingang in die tägliche Praxis finden. Umso wichtiger ist es, dass der GDV-Verhaltensko-dex die Bedeutung der Beratungsdokumentation in Ziffer 4 noch-mals betont.

Bereiche mit besonderem Handlungsbedarf zur Einführung von Grundsätzen und Maßnahmen für die Vertriebscompliance

1 - Kein Handlungsbedarf2 - Geringer Handlungsbedarf3 - Mittlerer Handlungsbedarf4 - Hoher Handlungsbedarf 5 - Sehr hoher Handlungsbedarf

1,0 2,0 3,0 4,0 5,0

Klare und verständliche Produkte

Vertriebssteuerung

Beratungsdokumentation

Beratung nach Vertragsabschluss

Abwerbungen und Umdeckungen

Legitimation gegenüber Kunden

Vermittlerqualifikation

Unabhängigkeit der Makler

Unternehmensveranstaltungen (Wettbewerbe)

2,5

3,1

2,9

2,8

2,8

1,8

3,0

2,9

2,6

Gewünschter Prüfer für CMS

Abschlussprüfer

62%Wirtschaftsprüfungs-

gesellschaft, die nicht

Abschlussprüfer ist

38%

3

2120 | Compliance-Studie 2014 Compliance-Studie 2014 |

haben die Unternehmen die Aufsicht und die Öffentlichkeit über die Organisation des Governance-Systems zu informieren.

Jeweils 35 Prozent der Unternehmen definieren entweder das Risikomanagement oder die Compliance-Funktion als hauptver-antwortlich für die zusammenfassende Beschreibung des Gover-nance-Systems inklusive der Abgrenzung der vier Governance- Funktionen. Geringe Bedeutung wird hingegen der Aktuariellen Funktion und der Internen Revision beigemessen (jeweils 9 Prozent).

Neben der Risikomanagement-Funktion und der Internen Revision fordert Solvency II im Gegensatz zu den MaRisk VA zusätzlich die Einrichtung der Compliance-Funktion. Deren Einrichtung und Aus-gestaltung obliegt laut 88 Prozent der Befragten in erster Linie dieser selbst.

Die Solvency-II-Rahmenrichtlinie stellt besondere Anforderungen an die fachliche Qualifikation (Fit) und die persönliche Zuverläs-sigkeit (Proper) aller Personen, die das Unternehmen tatsächlich leiten oder andere Schlüsselfunktionen innehaben, etwa die Risi-komanagement-Funktion, die Compliance-Funktion, die Interne Revision und die Aktuarielle Funktion.

Nur 17 Prozent der Befragten sehen die Hauptverantwortung für die Umsetzung der Fit & Proper-Anforderungen bei der Complian-ce-Funktion, 26 Prozent dagegen beim Risikomanagement. Wei-tere 39 Prozent erachten andere Bereiche, insbesondere die Per-sonalabteilung, für zuständig. Die Versicherungsunternehmen sind nach Solvency II zur Einrich-tung eines wirksamen Governance-Systems verpflichtet. Im Zuge der qualitativen Berichterstattung nach Säule 3 (RSR/SFCR)

Solvency II

Hauptverantwortlich fürAusgestaltung Fit & Proper 1

Risikomanagement Aktuarielle Funktion

Compliance- Funktion

26% 9% 17%

Sonstige

39%

Interne Revision

9%

Hauptverantwortlich fürZusammenfassende Beschreibung des Governance-Systems1

Aktuarielle Funktion

Compliance- Funktion

9%

Risikomanagement

35% 35%

Interne Revision

9%

Sonstige

13%

1 Mehrfachnennung möglich

4

22 | Compliance-Studie 2014 23Compliance-Studie 2014 |

Jan Leiding Partner

Tel. +49 221 2779 [email protected]

Ansprechpartner

Der Stand der Umsetzung der Solvency-II-Anforderungen an das Governance-System wird von den Versicherungsunternehmen unterschiedlich bewertet. So gibt die Mehrheit der Befragten an, dass die Fit & Proper-Kriterien bereits heute zumeist umgesetzt sind. Ein sehr ähnliches Bild ergibt sich bezüglich der Festlegung von Rollen und Zuständigkeiten einzelner Personen und Gremien innerhalb des Risikomanagementsystems. Dies trifft auch für die Aufgabentrennung zwischen den drei Verteidigungslinien zu. Die Beurteilung dieser drei Kriterien weicht nur unwesentlich von der 2010 getroffenen Einschätzung der Unternehmen ab.

Den größten Handlungsbedarf („Einige Anforderungen sind er-füllt“) sehen die Versicherungsunternehmen bei der Einrichtung der vier Governance-Funktionen. Insbesondere der Definition der Funktionen sowie deren Aufgabenabgrenzung und Zusam-menspiel attestieren die Befragten noch Umsetzungslücken.

Eindeutige Festlegung der Zuständigkeit von Einzelpersonen und Ausschüssen im gesamten Risikomanagement

Einzelpersonsindfachlichqualifiziert und persönlich zuverlässig

Klare Aufgabentrennung zwischen der ersten, zweiten und dritten Verteidigungslinie

WirksameDefinition der einzelnen Goverance-Funktionen

Klare Aufgabentrennung der Festlegung des Zusammenspiels der Goverance-Funktion

3,2

3,4

3,1

2,6

2,7

1 - Anforderungen sind nicht erfüllt2 - Einige Anforderungen sind erfüllt3 - Die meisten Anforderungen sind erfüllt4 - Alle Anforderungen sind erfüllt5 - Anforderungen werden übertroffen

1,0 2,0 3,0 4,0 5,0

Erfüllung der Solvency II-Anforderungen

4

Oliver Jost Partner


Daniela KochSenior Manager


Dr. Bernd FröhlerSenior Manager


Dirk BrechfeldSenior Manager


EY | Assurance | Tax | Transactions | Advisory

Die globale EY-Organisation im ÜberblickDie globale EY-Organisation ist einer der Marktführer in der Wirtschafts-prüfung, Steuerberatung, Transaktionsberatung und Managementberatung. Mit unserer Erfahrung, unserem Wissen und unseren Leistungen stärken wir weltweit das Vertrauen in die Wirtschaft und die Finanzmärkte. Dafür sind wir bestens gerüstet: mit hervorragend ausgebildeten Mitarbeitern, starken Teams, exzellenten Leistungen und einem sprichwörtlichen Kundenservice. Unser Ziel ist es, Dinge voranzubringen und entscheidend besser zu machen – für unsere Mitarbeiter, unsere Mandanten und die Gesellschaft, in der wir leben. Dafür steht unser weltweiter Anspruch „Building a better working world“.

Die globale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Mandanten. Weitere Informationen finden Sie unter www.ey.com.

In Deutschland ist EY an 22 Standorten präsent. „EY“ und „wir“ beziehen sich in dieser Publikation auf alle deutschen Mitgliedsunternehmen von Ernst & Young Global Limited.

© 2014Ernst & Young GmbH WirtschaftsprüfungsgesellschaftAll Rights Reserved.

DLE 0514-047ED None

EY ist bestrebt, die Umwelt so wenig wie möglich zu belasten. Diese Publikation wurde daher auf FSC®-zertifiziertem Papier gedruckt, das zu 60 % aus Recycling-Fasern besteht.

Diese Publikation ist lediglich als allgemeine, unverbindliche Information gedacht und kann daher nicht als Ersatz für eine detaillierte Recherche oder eine fachkundige Beratung oder Auskunft dienen. Obwohl sie mit größtmöglicher Sorgfalt erstellt wurde, besteht kein Anspruch auf sachliche Richtigkeit, Voll-ständigkeit und/oder Aktualität; insbesondere kann diese Publikation nicht den besonderen Umständen des Einzelfalls Rechnung tragen. Eine Verwendung liegt damit in der eigenen Verantwortung des Lesers. Jegliche Haftung seitens der Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft und/oder anderer Mitgliedsunternehmen der globalen EY-Organisation wird ausgeschlossen. Bei jedem spezifi-schen Anliegen sollte ein geeigneter Berater zurate gezogen werden.

www.de.ey.com

Compliance-Studie 2014 - EY · Trennung der Funktionen Recht/Legal und Compliance vermieden werden....

Documents

Transcript of Compliance-Studie 2014 - EY · Trennung der Funktionen Recht/Legal und Compliance vermieden werden....