MaGO: Finanzaufsicht hebelt Versicherungs-IT aus
Seit 1. Februar 2017 gelten neue Anforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGO). Die strengen Risikorichtlinien lassen sich vergleichen mit dem Regelwerk, das künftig für Banken gilt (MaRisk). Hüben wie drüben bildet die IT einen der wesentlichen Schwerpunkte bei den zu erwartenden BaFin-Prüfungen. Darauf sind bei weitem noch nicht alle Versicherer vorbereitet.
von Werner Glowik, Management Consultant, Procedera Consult
Die bisherigen Prüfungen der BaFin haben sich vor allem auf die Kapitalausstattung der Assekuranzen bezogen sowie auf Restrukturierungen (Run-Off), die einige Versicherer vorgenommen haben, um nach Solvency II auf einen grünen Zweig zu kommen.Damit, so dachte man, sei das Gröbste überstanden. Doch die MaGO sorgen jetzt für einen Handlungsdruck, mit dem kaum jemand gerechnet hat.”
Gespräche mit Vertretern der Branche zeigen, dass nur die wenigsten Versicherungen bereits einen Schlachtplan für die MaGO-Umsetzung entwickelt haben.
IT wird Prüfungsschwerpunkt
Tatsächlich gehört die IT nach den MaGO-Festlegungen zu den wichtigsten Funktionen innerhalb eines Versicherungsunternehmens.”
Tatsächlich gehört die IT nach den MaGO-Festlegungen zu den wichtigsten Funktionen innerhalb eines Versicherungsunternehmens.”
Damit greifen nicht nur strikter zu handhabende Regeln bei eventuellen Auslagerungen. Die IT muss auch inner-organisatorisch deutlich mehr leisten als bislang. Wie ein roter Faden zieht sich diese Erkenntnis durch sämtliche Kapitel der MaGO. Wo die Banken häufig noch mit erweiterten Schnittstellen arbeiten konnten, müssen die Assekuranzen teilweise deutlich umorganisieren.
Konkret fordern die MaGO, Aufgaben, Verantwortlichkeiten und Berichtslinien eindeutig zu definieren und vor allem: zu dokumentieren. IT-Abteilungen, die sich bislang zuerst um eine einwandfreie Anwendungsumgebung gekümmert haben, müssen jetzt gewährleisten, dass sich auf Knopfdruck organisationsspezifische Informationen auslesen lassen. Dazu gehören auch die ablauforganisatorischen Regelungen und deren Umsetzung sowie die Ablauf- und Aufbauorganisation für das Gesamthaus. Zudem müssen die schriftlichen Leitlinien Risikodaten hergeben, um ein internes Kontrollsystem zu etablieren (MaGO Ziff. 12).
Insgesamt geht es um eine die Prozesse begleitende IT-Infrastruktur, die neben kundennahen Abläufen jetzt auch stärker ausgeprägte administrative Arbeitsschritte umfassen muss. Dafür liegen nur selten bereits bewährte Dokumentationsstandards vor, geschweige denn erprobte IT-Systeme, die informatorisch so gut vernetzt sind, dass sich diese Anforderungen zügig umsetzen ließen. Sofern Anweisungen, wie vielfach üblich, noch als Fließtexte vorliegen, müssen die Häuser auch methodisch einiges an Vorarbeit leisten, um auch künftig compliance-konform zu operieren.
Baustelle im Berechtigungsmanagement
IT-spezifische Fehlerquellen deuten sich bei der Anwendungsdokumentation an, also der Frage, welche IT-Systeme im Haus eingesetzt werden und wer sie nutzt. Gefragt sind saubere Beschreibungen der einzelnen IT-Komponenten, der eingebauten Sicherungen und auch der Kontrollinstanzen. Diese wiederum müssen sich kompatibel zu den versicherungstechnischen Anforderungen verhalten, um den operativen Betrieb nicht zu gefährden.
Eine weitere Herausforderung stellt das Berechtigungsmanagement dar. Denn die materiellen Berechtigungsstrukturen erweisen sich häufig als fehleranfällig. Sind die individuell zugeordneten Zugriffsbefugnisse unzureichend plausibilisiert, kann es zu „Mischberechtigungen“ kommen, die jedoch ausdrücklich untersagt sind. Ein Mitarbeiter der Vertragsverwaltung darf beispielsweise keine Schäden mehr bearbeiten oder gar auszahlen, nur weil er zuvor in diesem Bereich tätig war und auch noch immer über die entsprechenden Kompetenzen verfügt.
Abhilfe schafft ein IT-internes Kontrollsystem, das rollen- und regelbasiert arbeitet, um fehlerhafte Zuordnungen („Fehlattribution“) aufzuspüren und zu vermeiden. Das wiederum erfordert, an den richtigen Stellen im System Kontrollen zu hinterlegen. Darüber hinaus ist zu prüfen, ob bestehende Kontrollen tatsächlich den beabsichtigen Kontrollzwecken genügen. Auch auf solche qualitativen Bewertungen kommt es künftig an. Auf bestehende Kontrollverfahren zu verweisen, reicht zukünftig nicht mehr aus. Vollends anforderungsgerecht ist die Aufstellung, wenn die Berechtigungen aktuell gehalten und einer regelmäßigen (Re-)Zertifizierung unterzogen werden.
IT-spezifische Regelungen schaffen
Künftig wollen die Prüfer wissen, wie die IT-Welt insgesamt geregelt ist. Dazu gehören sowohl schriftliche Leitlinien zum Umgang und Einsatz der Systeme und eine Dokumentationsstruktur, in der diese IT-spezifischen Anweisungen abgefasst und im Unternehmen veröffentlicht werden.”
Künftig wollen die Prüfer wissen, wie die IT-Welt insgesamt geregelt ist. Dazu gehören sowohl schriftliche Leitlinien zum Umgang und Einsatz der Systeme und eine Dokumentationsstruktur, in der diese IT-spezifischen Anweisungen abgefasst und im Unternehmen veröffentlicht werden.”
Das zieht zudem Überlegungen nach sich, wie sowohl diese Leitlinien als auch die mit IT-Systemen verbundenen Berechtigungen aktuell gehalten werden. Dafür brauchen die Versicherer ein belastbares und wirtschaftlich tragbares Konzept.
Überraschungen drohen auch bei der späteren Umsetzung. Die steht und fällt mit der Güte des methodisch-organisatorischen Konzepts. Schon jetzt ist klar, dass das aber nicht der alleinige Erfolgsgarant sein kann. Die Versicherer müssen an die bestehenden Silostrukturen ran. Da das Anweisungswesen vielfach nach Fachbereichen organisiert ist, wird folglich die historisch gewachsene Silo-Logik auch bei den Datenbeständen reproduziert. Auch an dieser Stelle bedarf es vorbereitender Maßnahmen, um für die spätere IT-technische Verarbeitung Daten und Dokumentationen standardisiert aufzuliefern.
Zusammenfassend lässt sich sagen, dass IT und Prozesse noch viel stärker als bisher eine wohldefinierte Einheit bilden müssen, die funktionstechnisch sauber getrennt und auf Ebene der Anweisungen klar umrissen sein muss. Die Schwesterbranche der Banken erweist sich dabei als stabiler Pate. Dort haben die Revisions- und Organisationsverantwortlichen bereits gute Erfahrungen mit einem prozessorientiert aufgebauten Anweisungswesen gemacht.
Prozessorientiert aufgebaute schriftliche Leitlinien notwendig
Der methodische Umstieg auf eine prozessbasierte Darstellung bietet zudem den Vorteil, auf bereits etablierte technische Lösungen aufbauen zu können, um den MaGO-Anforderungen an eine ordnungsgemäße Geschäftsorganisation zu genügen. Das mit einem BPM-System (Business Process Management) verfolgte Ziel ist das gleiche wie bei den Banken: Auf Knopfdruck wollen externe Prüfer verstehen können, wie das Prozessmodell des Unternehmens funktioniert und wie implementierte Kontrollen wirken. Dieser Überblick gelingt am ehesten mit einem IT-System, das Abhängigkeiten, Prozessbeteiligte, Verantwortliche, IT-Anwendungen und zugehörige Kontrollen auf einen Kulminationspunkt hin verdichtet. Als wesentlicher Informationsträger gilt dann der einzelne Prozess, an dem die benötigten Daten verortet werden.
Diese Entwicklung hat der Gesetzgeber bereits vorgezeichnet. Die MaGO fassen bestehende Regeln ähnlich der Banken-MaRisk zusammen. Neben Solvency II gehören dazu die VAG-Reform von 2016 sowie verschiedene gesetzliche Vorschriften, die sowohl auf Bundes- wie auch EU-Ebene in Kraft getreten sind (EIOPA).”
Interessenvertreter wie die Deutsche Aktuarvereinigung (DAV) kritisieren zwar, dass die Aufsicht teilweise zu detaillierte Vorgaben macht und damit weit über das Ziel hinausgeschossen ist.
Doch Versicherer, die erstmal verstanden haben, dass es auf ein neues Denken in Prozesswelten ankommt, dürften trotz anfänglich eher dickerer Bretter, die zu bohren sind, langfristig durchaus nennenswerte Vorteile erzielen. Denn mit den jetzt zu schaffenden Grundlagen lassen sich später die bestehenden Prozesse auch viel leichter verbessern.aj
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/47514
Schreiben Sie einen Kommentar