Versicherungsaufsichtliche Anforderungen an die IT
Herausforderungen
Outsourcing, Outtasking, Out-Servicing, Managed Services usw. sind seit Jahren integrale Bestandteile im unternehmerischen Kontext. Die Vorteile unternehmenseigene Tätigkeiten, Funktionen, Anwendungen oder ganze Geschäftsbereiche an einen Dienstleister auszugliedern sind vielfältig. In strategischer Hinsicht versetzt die Ausgliederung von Funktionen und Tätigkeiten ein Unternehmen in die Lage, sich stärker auf die eigenen Kernkompetenzen zu fokussieren. Gleichzeitig werden, durch das Outsourcing an einen spezialisierten, externen (oder gruppeninternen) Dienstleister, Zeit und Ressourcen raubende, unspezialisierte Tätigkeiten und Funktionen abgegeben, wodurch eine Optimierung der Betriebsabläufe bei gleichzeitiger Kostensenkung erreicht wird.
Gleichwohl kann das Outsourcing von unternehmenseigenen Tätigkeiten, Funktionen, Anwendungen oder ganzer Geschäftsbereiche unternehmerische Risiken, wie Knowhow-Verlust, Dienstleisterabhängigkeit (Lock-in-Effekt), einen hohen kommunikativen und koordinatorischen Aufwand, eine nachhaltige Verschlechterung des Betriebsklimas durch Stellenabbau oder Minderleistungen des Dienstleisters provozieren.
Insbesondere im stark regulierten Finanz- und Versicherungssektor stellt die Auslagerung (Finanzsektor) oder Ausgliederung (Versicherungssektor) von Tätigkeiten, Funktionen, Anwendungen oder ganzen Geschäftsbereichen eine große Hürde für Unternehmen dar.
Aus Sicht der ausgliedernden Versicherungsunternehmen, die Gegenstand dieses Whitepapers sind, besteht die Schwierigkeit in einer anforderungskonformen Umsetzung der bestehenden, gesetzlichen europäischen und nationalen Richtlinien. Dies resultiert nicht zuletzt aus der Interdependenz der rechtlichen Verordnungen. Die Überwachung von und ggf. strafrechtliche Meldung von Verstößen gegen regulatorische Richtlinien durch Solvency II-Unternehmen obliegt der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin).
Im Zusammenhang mit der anforderungskonformen Ausgliederung von Tätigkeiten, Funktionen, Anwendungen oder Geschäftsbereichen betrachtet die BaFin für deutsche Versicherungsunternehmen mindestens die nachfolgenden, aufsichtsrechtlichen Vorschriften als verpflichtend:
- Versicherungsaufsichtsgesetz (VAG)
- Delegierte Verordnung (EU) 2015/35 (DVO) – für Solvency II-Unternehmen
- Leitlinien zum Governance-System (EIOPA-BoS-14/253 DE)
- Leitlinien zum Outsourcing an Cloud-Anbieter (EIOPA-BoS-20/002 DE)
- Rundschreiben 2/2017 (VA) – Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo)
- Rundschreiben 10/2018 – Versicherungsaufsichtliche Anforderungen an die IT (VAIT) in der Fassung vom 03.03.2022
Für die anforderungskonforme Realisierung eines Ausgliederungsvorhabens müssen die oben genannten Vorschriften und Anforderungen erst prozesshaft übersetzt werden. So lässt sich ein Ausgliederungsvorhaben in 4 Phasen unterteilen:
Bewertung der Anforderungen
Risikoanalyse und Delegation
Umsetzung und Steuerung
Revision
Bewertung der Anforderungen
Prozessual entfallen auf die Phase der Anforderungserhebung und Bewertung diverse, zu realisierende Zielbilder, von denen an dieser Stelle lediglich exemplarisch die allgemeine Risikoanalyse von Ausgliederungen, die funktionale und nicht-funktionale Anforderungserhebung und -bewertung, die eigenständige und risikoorientierte Feststellung des Vorliegens einer Tätigkeit mit Ausgliederungscharakter und die Erstellung eines Ausgliederungsregisters erwähnt seien.
Ausgliedernde Unternehmen müssen – bevor eine Risikoanalyse des Ausgliederungsgegenstandes erfolgt – die generellen, mit einer Ausgliederung verbundenen, Risiken identifizieren, analysieren bewerten (und im Anschluss an die Ausgliederung) steuern.
Die eigenständige und risikoorientierte Feststellung des Vorliegens einer Tätigkeit mit Ausgliederungscharakter erlaubt es, zu bestimmen, ob es sich bei einer Dienstleisterinanspruchnahme tatsächlich um ein Ausgliederungsvorhaben oder vielmehr eine sonstige Dienstleistungsbeziehung handelt. Insofern es sich bei der Dienstleisterinanspruchnahme dem Charakter nach um eine Ausgliederung handelt, muss der Ausgliederungsgegenstand einer funktionalen und nicht-funktionalen Anforderungserhebung und -bewertung unterzogen werden. Bei Feststellung einer Dienstleisterinanspruchnahme mit Ausgliederungscharakter wird dem ausgliedernden Unternehmen durch die Aufsichtsbehörde die Führung eines Ausgliederungsregisters auferlegt.
In diesem dokumentiert das ausgliedernde Unternehmen, welche rechtliche Einheit, welche Funktion oder Versicherungstätigkeit auf welchen Dienstleister ausgliedert wird. Die VAIT gibt hierzu wenig bis keine Vorgaben. Dementsprechend gibt es derzeit keine dezidierte Pflicht zur Führung eines Ausgliederungsregisters, doch ist davon auszugehen, dass eine Pflicht zur Führung eines Ausgliederungsregisters spätestens mit der nächsten Novellierung der VAIT erfolgen wird. Da es große inhaltliche Übereinstimmungen zwischen den Versicherungsaufsichtliche(n) Anforderungen an die IT (VAIT) im Versicherungswesen und den Bankenaufsichtliche(n) Anforderungen an die IT (BAIT) gibt, ist eine zukünftige inhaltliche Kongruenz zwischen dem Auslagerungsregister im Finanzwesen und einem möglichen, verpflichtenden Ausgliederungsregister im Versicherungswesen anzunehmen. Die Inhalte eines Ausgliederungsregisters im Versicherungsumfeld – wie es etwa im Finanzwesen bereits verpflichtend ist – lassen sich aus in den Mindestanforderungen an das Risikomanagement (MaRisk), den Verwaltungsanweisungen der BaFin für das Risikomanagement deutscher Kreditinstitute ableiten. Sie enthalten 9 wesentliche Punkte. Hierzu gehören u. a. (Auszug!) eine Referenznummer für jede Auslagerungsvereinbarung, das Datum des Beginns und gegebenenfalls das Datum der nächsten Vertragsverlängerung, das Datum des Endes und/oder Kündigungsfristen für den Dienstleister und für das ausgliedernde Unternehmen.
Ferner wird eine kurze Beschreibung der ausgelagerten Funktion, einschließlich der ausgelagerten Daten, sowie Angabe, ob personenbezogene Daten übertragen werden oder ob ihre Verarbeitung an einen Dienstleister ausgelagert wird.
Risikoanalyse und Delegation
Vor einer tatsächlichen Umsetzung eines Ausgliederungsvorhabens oder bei sonstigen Dienstleistungsbeziehungen im Bereich der IT-Dienstleistungen ist zwingend eine vorgelagerte Risikoanalyse anzufertigen, welche unter Proportionalitätsgesichtspunkten erfolgt. Bei der Erstellung der Risikoanalyse sind die wesentlichen, an der Ausgliederung beteiligten Organisationseinheiten einzubinden. Die Risikoanalyse selbst ist in Anbetracht des individuellen Unternehmensrisiko aufzusetzen. So kann unter Umständen eine geringe Unternehmensgröße ein Indikator eines schwächeren Unternehmensrisikos sein. Entsprechend sind die Anforderungen an die Ausgestaltung der Strukturen, IT-Systeme oder Prozesse bei Unternehmen mit einem hohen Risikoprofil aufwendiger und müssen ihre Entsprechung in der Risikoanalyse finden. Sollten bereits Risikoanalyse zu gleichartigen Ausgliederungsvorhaben bestehen, so kann auf diese bestehenden Risikoanalysen zurückgegriffen werden. Die Erstellung einer Risikoanalyse muss zwingend unter Einbindung der Beauftragten für Informationssicherheit und Notfallmanagement erfolgen.
Ziel einer Risikoanalyse ist es, zu bestimmen, ob ein Ausgliederungsvorhaben schlichtweg regulatorisch verboten, wesentlich oder nicht kritisch ist oder einen sonstiger Fremdbezug von Dienstleistungen darstellt. Wenn im Ergebnis der vorab durchgeführten Risikoanalyse, welches immer zu dokumentieren ist, die Wesentlichkeit des Ausgliederungsvorhabens – es handelt sich dem Charakter nach also um eine kritische Ausgliederung – feststellt wird, sind Schnittstellen zum Risikomanagement und dem Internen Kontrollsystem (IKS) einzurichten. (vgl. Delegierte Verordnung (EU) 2015/35 (DVO), Artikel 274 Absatz 5)
In den Mindestanforderungen an die Geschäftsorganisation (MaGo) wird ferner spezifiziert, welche Unternehmensfunktionen als Schlüsselfunktionen und somit wesentlich gelten. Hierzu zählen:
- Vertrieb
- Bestandsverwaltung
- Leistungsbearbeitung
- Berechnung der versicherungstechnischen Rückstellungen nach Solvabilität II und nach HGB
- Rechnungswesen
- Vermögensanlage und -verwaltung
- Elektronische Datenverarbeitung im Hinblick auf ihrerseits wichtige versicherungstypische Tätigkeiten
Wesentliche Ausgliederungen müssen durch die Geschäftsleitung genehmigt werden und im Zuge dessen muss das ausgliedernde Versicherungsunternehmen eine/n Ausgliederungsbeauftragte/n benennen, der/ die die ordnungsgemäße Durchführung der Ausgliederung verantwortet. Trotz der Delegation der Verantwortung auf den/die Ausgliederungsbeauftragte/n verbleibt die Letztverantwortung über das Ausgliederungsvorhaben, die Durchführung und die Kontrolle des Services bei der Geschäftsführung.
Nicht nur unternehmensintern müssen Schnittstellen zu wesentlichen Stakeholdern etabliert werden. Wenn sich Versicherungsunternehmen entscheiden wesentliche Tätigkeiten, Funktionen, Anwendungen oder Geschäftsbereiche auszugliedern, sind diese gegenüber der BaFin meldepflichtig. Zu beachten hierbei ist, dass die BaFin Versicherungsunternehmen bereits beim bloßen Vorliegen einer Ausgliederungsabsicht in der Pflicht sieht, das Ausgliederungsvorhaben anzuzeigen.
Umsetzung und Steuerung
Auf die dritte Phase entfallen alle Tätigkeiten und Maßnahmen, die die faktische Umsetzung der Ausgliederung der Funktion bzw. der Versicherungstätigkeit zum Ziel haben. In einem ersten Schritt muss eine Dienstleisterüberprüfung möglicher Dienstleistungspartner durch das ausgliedernde Unternehmen erfolgen. Eine Überprüfung der Dienstleister muss hierbei mindestens:
- die finanzielle Leistungsfähigkeit des Dienstleisters,
- die technischen Fähigkeiten des Dienstleisters, die Kapazitäten des Dienstleisters,
- die geforderte Ausgliederungsleistung erbringen zu können,
- als auch den Kontrollrahmen (vgl. hierzu (VAG, § 32, Ziffer 2),
- mögliche oder etwaig bestehende Interessenkonflikte berücksichtigen.
Nach einer positiv bescheinigten Dienstleisterüberprüfung kann mit der Ausgestaltung der Vertragsübersicht begonnen werden. Kapitel 9, Absatz 4 der Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) weist darauf hin, dass die Vertragsübersicht zwingend die, aus der vorab durchgeführten Risikoanalyse, abgeleiteten Maßnahmen als Vertragsgegenstand des Ausgliederungsvertrags aufnimmt und sicherstellt, dass wesentliche Beeinträchtigungen der Qualität der Geschäftsorganisation, eine übermäßige Steigerung des operationellen Risikos und Gefährdungen der kontinuierlichen und zufriedenstellenden Dienstleistung für die Versicherungsnehmer vermieden werden. Die VAIT gibt darüber hinaus nur generelle Hinweise zur inhaltlichen Ausgestaltung eines Ausgliederungsvertrags. Hierzu zählen etwa Vereinbarungen zum Informationsrisikomanagement, zum Informationssicherheitsmanagement, zum Notfallmanagement und zum IT-Betrieb. Falls darüber hinaus erforderlich kann die Entwicklung einer Exit- oder Alternativstrategie bei Dienstleisterausfall Bestandteil der Vereinbarung eines Ausgliederungsvertrages sein.
Weiterführende Informationen zur Konkretisierung der Inhalte einer Ausgliederungsvertragsübersicht findet sich in der delegierten Verordnung DVO 2015/35 (Durchführungsverordnung).
Ein weiterer, wichtiger Prüfpunkt bei der Ausgestaltung eines Ausgliederungsvertrags ist die Wahrung von Kontroll-, Steuerungs- und Prüfrechten. In diesem Zusammenhang wird beispielsweise im Versicherungsaufsichtsgesetz (VAG) darauf hingewiesen, dass:
- das Unternehmen selbst, seine Abschlussprüfer und die Aufsichtsbehörde auf alle Daten zugreifen können,
- der Dienstleister mit der Aufsichtsbehörde zusammenarbeitet und
- die Aufsichtsbehörde Zugangsrechte zu den Räumen des Dienstleisters erhält, die sie selbst oder durch Dritte ausüben kann. (VAG, § 32, Ziffer 2)
Demzufolge ergibt sich für die Einhaltung der vorgenannten Punkte, die Notwendigkeit einer vertraglichen Zusicherung von Auskunfts- und Weisungsrechten – dies vor dem Hintergrund, dass
nach erfolgtem Vertragsschluss und operativer Aufnahme des Betriebs des Outsourcing-Gegenstands die Steuerung des Dienstleisters bzw. Überwachung der Leistungserbringung des Dienstleisters auf Basis der Vertragsübersicht erfolgt.
Revision
Der erfolgreichen Überführung des Ausgliederungsvorhabens und Steuerung des Regelbetriebs schließt sich die Revisionsphase an. Inwieweit die Interne Revision (IR) die Prüfung des Ausgliederungsgegenstandes zu überwachen hat, ergibt sich aus den Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo). Darin wird allgemein der Aufbau und Betrieb einer internen, unabhängigen Revision verlangt, welche die gesamte Geschäftsorganisation, ausgegliederte Bereiche und Prozesse überwacht und für alle Versicherer verpflichtend ist.
Die Interne Revision hat dabei bestimmte inhaltliche Anforderungen zu erfüllen, um als unabhängig gegenüber der Geschäftsführung zu gelten. Diese inhaltlichen Ausgestaltungen sind klar in der MaGo ausgewiesen, weshalb an dieser Stelle nicht weiter darauf eingegangen werden wird.
In der Revisionsphase wird darüber hinaus kontinuierlich anhand der bestehenden Leitlinien zur Ausgliederung – oder aufgrund einer eingetretenen Veränderung – eine Bewertung des Wesentlichkeitscharakters des Ausgliederungsgegenstandes vorgenommen, die unter Umständen Anpassungen an die Ausgliederungsgegenstand und aller damit verbundenen Funktionen nach sich ziehen.
Falls nicht bereits vorhanden, muss in der Revisionsphase – insofern es sich bei der Ausgliederung um eine Schlüsselfunktion oder eine unternehmensseitig als wichtig (wesentlich) eingestufte Funktion handelt – ein/e Ausgliederungsbeauftragte/r benannt werden, die/der, unabhängig von der Letztverantwortung der Geschäftsleitung, die Leistungserbringung des Dienstleisters überwacht. Hierbei obliegt der/dem Ausgliederungsbeauftragten die Kontrolle über die vertragliche Einhaltung der zu erbringenden Dienstleistung durch den Dienstleister sowie das Berichtswesen für die Geschäftsleitung. In der Regel wird ein/e Ausgliederungsbeauftragte/r der Internen Revision hinsichtlich der Prüffunktion zu arbeiten.
Zusammenfassung VAIT (Versicherungsaufsichtliche Anforderungen)
Unternehmen im regulierten Umfeld stehen aufgrund der Schwierigkeit einer anforderungskonformen Ausgliederungsumsetzung oftmals vor großen Hürden, welche sich aus der Vielzahl verpflichtender, nationaler und internationaler gesetzlicher Richtlinien ergibt.
Für eine anforderungskonforme Umsetzung von IT-Ausgliederungsvorhaben empfiehlt sich ein vierphasiges Vorgehen (Anforderungserhebung und Bewertungsphase, Risikoanalyse und Delegationen, Umsetzungs- und Steuerungsphase, Revisionsphase).
Während in der ersten Phase u. a. allgemeine Risiken von Ausgliederungen bestimmt werden und eine Anforderungserhebung und -bewertung des Ausgliederungssachverhalts erstellt wird, entfällt auf die zweite Phase die Risikoanalyse des IT-Ausgliederungsvorhabens. Diese erfolgt nach dem Proportionalitätsprinzip. Dementsprechend sind die Anforderungen an die Ausgestaltung der Strukturen, IT-Systeme oder Prozesse bei Unternehmen mit einem hohen Risikoprofil aufwendiger (einzuschätzen) als bei Unternehmen mit einem geringen Risikoprofil.
In der Umsetzung- und Steuerungsphase vollzieht sich die eigentliche IT-Ausgliederung und die Überführung in den Regelbetrieb. Diesem sind jedoch eine Dienstleisterüberprüfung sowie die Vertragsgestaltung vorgelagert. Die Erkenntnisse aus der zuvor durchgeführten Risikoanalyse sind bei der Vertragsgestaltung entsprechend zu berücksichtigen und Basis für die Steuerung des gewählten Dienstleisters.
In der Revisionsphase wird der IT-Ausgliederungsgegenstand kontinuierlich durch die Interne Revision überwacht und bei eintretenden Veränderungen der Charakter der Ausgliederung bewertet (Feststellung des Wesentlichkeitscharakters).
Weitere Artikel
