Wie sicher und ordnungsgemäß ist die IT bei Versicherungsunternehmen? Mit dem Inkrafttreten der VAIT (Versicherungsaufsichtliche Anforderungen an die IT) im Jahr 2018 konkretisierte die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) die Anforderungen an die IT, die gemeinsam mit den MaGO (Mindestanforderungen an die Geschäftsorganisation) die Basis für Aufsichtsprüfungen bei den Versicherern direkt vor Ort bilden. Zusätzlich wurden auf europäischer Ebene neue Regularien der Europäischen Aufsichtsbehörde für Versicherungswesen (EIOPA) für Versicherer zum Umgang mit Cloud-Ausgliederungen veröffentlicht.

In den letzten Jahren wurden verstärkt Aufsichtsprüfungen im Bankensektor durchgeführt und die Versicherungen wurden vorerst noch verschont. Dies hat sich gewandelt. Die Aufsicht führt nun auch verstärkt Schwerpunktprüfungen im Versicherungssektor durch.

Welche Bereiche im Mittelpunkt der VAIT-Prüfung stehen

Dabei werden die bekannten Themengebiete der VAIT nicht nur einzeln beleuchtet, sondern auch ihr Zusammenspiel bzw. ihre Abhängigkeiten untereinander –von der IT-Strategie über die IT-Wertschöpfungskette bis über die Unternehmensgrenze hinweg zum Outsourcing oder Cloud Computing.

Oft Nachholbedarf in der Steuerung und Überwachung von Fremdbezügen

Insbesondere im Umfeld der Ausgliederungen ist bei den Versicherern noch Nachholbedarf zu erkennen, denn die aus der Bankenwelt bekannten Anforderungen sind bei zahlreichen Versicherern in der Praxis noch nicht umgesetzt oder erkennbar. Folgerichtig existiert ein beträchtliches Risiko von Feststellungen.

Hinzu kommen neue Regularien von europäischer Ebene, die ergänzend eine Detaillierung der Vorgaben mit sich bringen. Die „EIOPA Guidelines on Outsourcing to Cloud Service Provider“ aus Februar 2020 sind nur ein Beispiel dafür, welche Outsourcing-Vorgaben an Cloud-Dienstleister bestehen.

Zudem hat die EIOPA einen Peer-Review durchgeführt. Europaweit wurde zwischen 2020 und 2022 eine Überprüfung der nationalen Aufsichtsbehörden in Bezug auf das Solvency-II-Rahmenwerk zum Thema Ausgliederungen begleitet. Die finalen Ergebnisse wurden im Juli 2022 veröffentlicht: Die EIOPA empfiehlt der BaFin unter anderem einen strukturierten Ansatz hinsichtlich der Informationen zu entwickeln, die von Versicherungen bei der Meldung neuer Ausgliederungen an die Aufsicht verlangt werden – möglicherweise durch Entwicklung einer standardisierten Vorlage.

Vor-Ort-Prüfungen durch die nationale Aufsicht bei Versicherungen vermehrt zu erwarten

Hierbei soll auch ein Fokus auf die gruppeninternen Ausgliederungen geworfen werden. Auch dies zeigt die zunehmende Brisanz und Priorität der Aufsichtsbehörden bei Versicherungsunternehmen.

Seit der Inkraftsetzung der DORA-Verordnung (Digital Operational Resilience Act) Anfang 2023 wird überdies deutlich, dass die Europäischen Aufsichtsbehörden EIOPA, EBA und ESMA die regulatorischen Anforderungen im gemeinsamen Europäischen Finanzmarkt stärker vereinheitlichen.

Rahmenwerk soll digitale Resilienz stärken – die wichtigsten Punkte

Im Fokus steht insbesondere auch der Umgang mit dem Drittparteienrisiko von IKT-Dienstleistern („ICT Third Party Risk Management“). Die wichtigsten Themen im Überblick:

Erstellung und regelmäßige Aktualisierung einer Strategie im Umgang mit dem Drittparteienrisiko
Eindeutige und umfangreiche Vertragsregelungen für die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen
Prozess zur Erstellung und Führung eines IKT-Dienstleisterregisters mit allen ausgelagerten Tätigkeiten, einschließlich gruppeninterner Dienstleistungen sowie sonst. IT-Dienstleistungsbeziehungen – mit umfangreichen Datenanforderungen
Vereinheitlichung der Meldungen neuer Auslagerungen an die Aufsichtsbehörden
Detaillierung der Anforderungen an die Berichterstattung vom Dienstleister (z.B. Incident oder Service Delivery Reports)
Regelmäßige Steuerung und Überwachung der Leistungsbeziehungen
Umfassendes Exit Management über IT-Drittbezüge

Auch vor dem Hintergrund der Harmonisierung der regulatorischen Rahmenwerke wird deutlich, dass die Anforderungen zum Management des Drittparteienrisikos steigen und insbesondere die Umsetzung im Versicherungswesen nun zunehmend nachgeholt werden muss.

Management Drittparteienrisiko: Konkrete Maßnahmen zur Vorbereitung und Umsetzung

Daher gilt es, sich frühzeitig mit den genannten Themen zu beschäftigen – nicht nur, um auf eine mögliche Prüfung durch die Aufsicht vorbereitet zu sein, sondern insbesondere, um ihre Risiken zu kennen und zu steuern. Es ist nun Aufgabe der Versicherungen, sich ein Bild des eigenen Reifegrads für Ihr Drittparteienrisikomanagement zu machen und zielgerichtet Umsetzungsmaßnahmen aufzusetzen – beispielweise wie folgt:

Aktuellen Stand zum Umgang mit Drittleistungsbezügen ermitteln (sowohl Ausgliederungen als auch sonstige IT-Fremdbezüge)
Relevanten Handlungsbedarf vor dem Hintergrund eines Vergleichs mit den geltenden Regelungen ableiten (insb. MaGO, VAIT, EIOPA, DORA)
Risikoorientierten Umsetzungsplan erarbeiten, der sich meist in zwei Phasen gliedert:

1. Konzeptionsphase: Vervollständigung der internen Vorgaben, untermauert mit standardisierten Vorlagen & Templates (z.B. Vertragsmuster, Risikoanalyse)
2. Umsetzungsphase: Rollout und Operationalisierung der neuen Vorgaben in der Organisation (z.B. veränderte Rollenbeschreibungen für die Ausgliederungsmanager, Anpassung und ggf. Nachverhandlung von Bestandsverträgen)

Entscheidung für eine mögliche Softwarelösung zur Unterstützung und Automatisierung des Drittparteienmanagements treffen (z.B. standardisiertes Reporting, Workflows)
Regelmäßige und wiederholte Vorbereitung auf anstehende Prüfungen der Aufsicht zur Erhöhung des Reifegrads (z.B. Prüfungssimulationen)

Veränderungen in der Aufbau- und Ablauforganisation sind typischerweise nicht kurzfristig umzusetzen, daher bedarf es einer guten Planung und stringenten Vorgehensweise. Fangen Sie heute an, falls noch nicht geschehen.

Daniel Wagenknecht

Partner, Financial Services

Kontaktieren Sie mich

Julia Ester

Managerin, Financial Service

Kontaktieren Sie mich

Olaf Rösener

Senior Manager, Financial Services

Kontaktieren Sie mich

Daniel Wagenknecht

Partner, Financial Services

Kontaktieren Sie mich

Julia Ester

Managerin, Financial Service

Kontaktieren Sie mich

Olaf Rösener

Senior Manager, Financial Services

Kontaktieren Sie mich

Compliance Strukturanalyse (CSA)

Möchten Sie Transparenz und Sicherheit im Hinblick auf den Status Ihrer Compliance-Strukturen erhalten?

Nutzen Sie unsere Compliance Strukturanalyse (CSA), um eine abteilungs- und prozessübergreifende Positionsbestimmung Ihrer bereits implementierten Compliance-Strukturen vorzunehmen.

Jetzt starten

Was der EU AI Act für Unternehmen bedeutet

Das Metaverse bietet dem Einzelhandel enormes Absatzpotenzial

Change Management aus der Mitte

Fünf Trends in der Cloud-Nutzung

Die Zeit für eine nachhaltige Corporate Governance ist gekommen

S/4HANA: Mit der Einführung mutig vorangehen und die Resilienz erhöhen

Derisking statt Decoupling – ein neuer Ansatz gegenüber China?

So sollte die Logistikbranche auf das Lieferkettengesetz reagieren

Themen-Hubs

Financial Services Hub

Customer Insights Hub

Capital-Markets-Insights Hub

Financial Services Hub

Customer Insights Hub

Capital-Markets-Insights Hub

Alles bereit für das Risikomanagement für Drittparteien?

Aufsicht prüft verstärkt IT von Versicherern – mit Fokus auf Ausgliederungen.

Welche Bereiche im Mittelpunkt der VAIT-Prüfung stehen

Oft Nachholbedarf in der Steuerung und Überwachung von Fremdbezügen

Vor-Ort-Prüfungen durch die nationale Aufsicht bei Versicherungen vermehrt zu erwarten

Rahmenwerk soll digitale Resilienz stärken – die wichtigsten Punkte

Management Drittparteienrisiko: Konkrete Maßnahmen zur Vorbereitung und Umsetzung

Daniel Wagenknecht

Julia Ester

Olaf Rösener

Daniel Wagenknecht

Julia Ester

Olaf Rösener

Compliance Strukturanalyse (CSA)

Ausblick 2024: Die wichtigsten Technologietrends für Unternehmen

Fehler im CSRD-Report - diese Personen haften dafür

Cloud-Strategie: Das sollten CEOs ihre IT-Abteilung fragen