Unsere Risikostrategie und unsere Rahmenrichtlinie zum Risiko- und Kapitalmanagement einschließlich des Limit- und Schwellenwertsystems für die wesentlichen Risiken der Hannover Rück-Gruppe beschreiben die zentralen Elemente unseres Risikomanagementsystems. Dieses unterliegt einem permanenten Zyklus der Planung, Tätigkeit, Kontrolle und Verbesserung. Insbesondere die systematische Risikoidentifikation, -analyse, -bewertung, -steuerung und -überwachung sowie die Risikoberichterstattung sind von zentraler Bedeutung für die Wirksamkeit des Gesamtsystems.
In der Rahmenrichtlinie werden unter anderem die zentralen Aufgaben, Rechte und Verantwortlichkeiten, die organisatorischen Rahmenbedingungen und der Risikokontrollprozess beschrieben. Die Regelungen leiten sich aus der Unternehmens- und der Risikostrategie ab und berücksichtigen zudem die aufsichtsrechtlichen Anforderungen an das Risikomanagement sowie internationale Standards und Entwicklungen einer angemessenen Unternehmensführung.
Die Ermittlung der Risikotragfähigkeit beinhaltet die Bestimmung des insgesamt zur Verfügung stehenden Risikodeckungspotenzials und die Berechnung der zur Abdeckung aller Risiken benötigten Mittel. Dies läuft im Einklang mit den Vorgaben der Risikostrategie und der Festlegung des Risikoappetits durch den Vorstand ab. Mit unserem Risikomodell erfolgt eine Bewertung der quantitativ bewertbaren Einzelrisiken sowie der gesamten Risikoposition. Zur Überwachung der wesentlichen Risiken existiert ein zentrales Limit- und Schwellenwertsystem. In dieses System fließen – neben weiteren risikorelevanten Kennzahlen – insbesondere die aus der Risikotragfähigkeit abgeleiteten und ermittelten Kenngrößen ein. Die Einhaltung des Gesamtrisikoappetits wird laufend überprüft.
Eine wesentliche Informationsbasis für die Überwachung der Risiken ist die turnusmäßige Risikoidentifikation. Die Dokumentation aller identifizierten Risiken findet im zentralen Register statt, das alle wesentlichen Risiken enthält. Die Risikoidentifikation erfolgt unter anderem in Form von strukturierten Assessments, Interviews oder Szenarioanalysen. Externe Erkenntnisse wie anerkanntes Branchen-Know-how aus relevanten Gremien oder Arbeitsgruppen fließen in den Prozess ein. Die Risikoidentifikation ist bedeutend für die dauerhafte Aktualität unseres Risikomanagements.
Grundsätzlich wird jedes identifizierte und als wesentlich erachtete Risiko quantitativ bewertet. Lediglich Risikoarten, für die eine quantitative Risikomessung derzeit nicht oder schwer möglich ist, werden qualitativ bewertet, so z. B. strategische Risiken, Reputationsrisiken oder Zukunftsrisiken. Eine qualitative Bewertung findet etwa durch Expertenschätzungen statt. Die quantitative Bewertung der wesentlichen Risiken und der Gesamtrisikoposition erfolgt durch das interne Kapitalmodell der Hannover Rück. Im Modell werden Risikokonzentration und Risikodiversifikation berücksichtigt.
Die Steuerung aller wesentlichen Risiken ist Aufgabe der operativen Geschäftsbereiche auf Bereichs- bzw. Gesellschaftsebene. Dabei werden die identifizierten und analysierten Risiken entweder bewusst akzeptiert, vermieden oder reduziert. Bei der Entscheidung durch den Geschäftsbereich wird das Chance- und Risikoverhältnis berücksichtigt. Unterstützt wird die Risikosteuerung durch die Vorgaben der zentralen und dezentralen Zeichnungsrichtlinien und durch definierte Limit- und Schwellenwerte.
Zentrale Aufgabe des Risikomanagements ist die Überwachung aller identifizierten wesentlichen Risiken. Dies beinhaltet unter anderem die Überwachung der Umsetzung der Risikostrategie, die Einhaltung der definierten Limit- und Schwellenwerte und die Einhaltung von risikorelevanten Methoden und Prozessen. Wichtige Aufgabe der Risikoüberwachung ist es zudem, festzustellen, ob die Maßnahmen zur Risikosteuerung durchgeführt wurden und ob die geplante Wirkung der Maßnahmen ausreichend ist.
Das Risikomanagement ist fest in unsere betrieblichen Abläufe integriert. Dies wird unterstützt durch eine transparente Risikokommunikation sowie einen offenen Umgang mit Risiken im Rahmen unserer Risikokultur. Die Risikokommunikation erfolgt z. B. durch interne und externe Risikoberichte, Informationen zu aktuellen Risikokomplexen im Intranet und Schulungsangebote für Mitarbeiter. Auch der regelmäßige Informationsaustausch zwischen risikosteuernden und risikoüberwachenden Einheiten ist elementar für die Funktionsfähigkeit des Risikomanagements.
Unsere Risikoberichterstattung informiert systematisch und zeitnah über alle wesentlichen Risiken und deren potenzielle Auswirkungen. Das zentrale Risikoberichtswesen besteht primär aus regelmäßigen Risikoberichten z. B. über die Gesamtrisikosituation, die Einhaltung der in der Risikostrategie definierten Kenngrößen oder die Kapazitätsauslastung der Naturkatastrophenszenarien. Ergänzend zur Regelberichterstattung erfolgt im Bedarfsfall eine interne Sofortberichterstattung über wesentliche und kurzfristig auftretende Risiken.
Der Vorstand ist – unabhängig von der internen Zuständigkeitsregelung – für die ordnungsgemäße Geschäftsorganisation des Unternehmens verantwortlich. Dies umfasst auch die Überwachung des internen Risikosteuerungs- und Kontrollsystems. Eine prozessunabhängige Überwachung und Qualitätssicherung des Risikomanagements erfolgt durch die interne Revision und externe Instanzen (Aufsichtsbehörden, Wirtschaftsprüfer und Ratingagenturen). Insbesondere der Wirtschaftsprüfer prüft das Risikofrüherkennungssystem und das interne Überwachungssystem. Durch prozessintegrierte Verfahren und Regelungen, beispielsweise durch das interne Kontrollsystem, wird das Risikomanagementsystem vervollständigt.