Wie sicher und ordnungsgemäß ist die IT bei Versicherungsunternehmen? Mit dem Inkrafttreten der VAIT (Versicherungsaufsichtliche Anforderungen an die IT) im Jahr 2018 konkretisierte die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) die Anforderungen an die IT, die gemeinsam mit den MaGO (Mindestanforderungen an die Geschäftsorganisation) die Basis für Aufsichtsprüfungen bei den Versicherern direkt vor Ort bilden. Zusätzlich wurden auf europäischer Ebene neue Regularien der Europäischen Aufsichtsbehörde für Versicherungswesen (EIOPA) für Versicherer zum Umgang mit Cloud-Ausgliederungen veröffentlicht.
In den letzten Jahren wurden verstärkt Aufsichtsprüfungen im Bankensektor durchgeführt und die Versicherungen wurden vorerst noch verschont. Dies hat sich gewandelt. Die Aufsicht führt nun auch verstärkt Schwerpunktprüfungen im Versicherungssektor durch.
Welche Bereiche im Mittelpunkt der VAIT-Prüfung stehen
Dabei werden die bekannten Themengebiete der VAIT nicht nur einzeln beleuchtet, sondern auch ihr Zusammenspiel bzw. ihre Abhängigkeiten untereinander –von der IT-Strategie über die IT-Wertschöpfungskette bis über die Unternehmensgrenze hinweg zum Outsourcing oder Cloud Computing.
Oft Nachholbedarf in der Steuerung und Überwachung von Fremdbezügen
Insbesondere im Umfeld der Ausgliederungen ist bei den Versicherern noch Nachholbedarf zu erkennen, denn die aus der Bankenwelt bekannten Anforderungen sind bei zahlreichen Versicherern in der Praxis noch nicht umgesetzt oder erkennbar. Folgerichtig existiert ein beträchtliches Risiko von Feststellungen.
Hinzu kommen neue Regularien von europäischer Ebene, die ergänzend eine Detaillierung der Vorgaben mit sich bringen. Die „EIOPA Guidelines on Outsourcing to Cloud Service Provider“ aus Februar 2020 sind nur ein Beispiel dafür, welche Outsourcing-Vorgaben an Cloud-Dienstleister bestehen.
Zudem hat die EIOPA einen Peer-Review durchgeführt. Europaweit wurde zwischen 2020 und 2022 eine Überprüfung der nationalen Aufsichtsbehörden in Bezug auf das Solvency-II-Rahmenwerk zum Thema Ausgliederungen begleitet. Die finalen Ergebnisse wurden im Juli 2022 veröffentlicht: Die EIOPA empfiehlt der BaFin unter anderem einen strukturierten Ansatz hinsichtlich der Informationen zu entwickeln, die von Versicherungen bei der Meldung neuer Ausgliederungen an die Aufsicht verlangt werden – möglicherweise durch Entwicklung einer standardisierten Vorlage.
Vor-Ort-Prüfungen durch die nationale Aufsicht bei Versicherungen vermehrt zu erwarten
Hierbei soll auch ein Fokus auf die gruppeninternen Ausgliederungen geworfen werden. Auch dies zeigt die zunehmende Brisanz und Priorität der Aufsichtsbehörden bei Versicherungsunternehmen.
Seit der Inkraftsetzung der DORA-Verordnung (Digital Operational Resilience Act) Anfang 2023 wird überdies deutlich, dass die Europäischen Aufsichtsbehörden EIOPA, EBA und ESMA die regulatorischen Anforderungen im gemeinsamen Europäischen Finanzmarkt stärker vereinheitlichen.
Rahmenwerk soll digitale Resilienz stärken – die wichtigsten Punkte
Im Fokus steht insbesondere auch der Umgang mit dem Drittparteienrisiko von IKT-Dienstleistern („ICT Third Party Risk Management“). Die wichtigsten Themen im Überblick:
- Erstellung und regelmäßige Aktualisierung einer Strategie im Umgang mit dem Drittparteienrisiko
- Eindeutige und umfangreiche Vertragsregelungen für die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen
- Prozess zur Erstellung und Führung eines IKT-Dienstleisterregisters mit allen ausgelagerten Tätigkeiten, einschließlich gruppeninterner Dienstleistungen sowie sonst. IT-Dienstleistungsbeziehungen – mit umfangreichen Datenanforderungen
- Vereinheitlichung der Meldungen neuer Auslagerungen an die Aufsichtsbehörden
- Detaillierung der Anforderungen an die Berichterstattung vom Dienstleister (z.B. Incident oder Service Delivery Reports)
- Regelmäßige Steuerung und Überwachung der Leistungsbeziehungen
- Umfassendes Exit Management über IT-Drittbezüge
Auch vor dem Hintergrund der Harmonisierung der regulatorischen Rahmenwerke wird deutlich, dass die Anforderungen zum Management des Drittparteienrisikos steigen und insbesondere die Umsetzung im Versicherungswesen nun zunehmend nachgeholt werden muss.
Management Drittparteienrisiko: Konkrete Maßnahmen zur Vorbereitung und Umsetzung
Daher gilt es, sich frühzeitig mit den genannten Themen zu beschäftigen – nicht nur, um auf eine mögliche Prüfung durch die Aufsicht vorbereitet zu sein, sondern insbesondere, um ihre Risiken zu kennen und zu steuern. Es ist nun Aufgabe der Versicherungen, sich ein Bild des eigenen Reifegrads für Ihr Drittparteienrisikomanagement zu machen und zielgerichtet Umsetzungsmaßnahmen aufzusetzen – beispielweise wie folgt:
- Aktuellen Stand zum Umgang mit Drittleistungsbezügen ermitteln (sowohl Ausgliederungen als auch sonstige IT-Fremdbezüge)
- Relevanten Handlungsbedarf vor dem Hintergrund eines Vergleichs mit den geltenden Regelungen ableiten (insb. MaGO, VAIT, EIOPA, DORA)
- Risikoorientierten Umsetzungsplan erarbeiten, der sich meist in zwei Phasen gliedert:
1. Konzeptionsphase: Vervollständigung der internen Vorgaben, untermauert mit standardisierten Vorlagen & Templates (z.B. Vertragsmuster, Risikoanalyse)
2. Umsetzungsphase: Rollout und Operationalisierung der neuen Vorgaben in der Organisation (z.B. veränderte Rollenbeschreibungen für die Ausgliederungsmanager, Anpassung und ggf. Nachverhandlung von Bestandsverträgen)
- Entscheidung für eine mögliche Softwarelösung zur Unterstützung und Automatisierung des Drittparteienmanagements treffen (z.B. standardisiertes Reporting, Workflows)
- Regelmäßige und wiederholte Vorbereitung auf anstehende Prüfungen der Aufsicht zur Erhöhung des Reifegrads (z.B. Prüfungssimulationen)
Veränderungen in der Aufbau- und Ablauforganisation sind typischerweise nicht kurzfristig umzusetzen, daher bedarf es einer guten Planung und stringenten Vorgehensweise. Fangen Sie heute an, falls noch nicht geschehen.