Versicherungsbranche im Fokus der BaFin: Surfen auf dem Regulatorik-Tsunami
Wie wir einen großen deutschen Versicherer auf ein BaFin-Audit vorbereiteten und dieser so seinen Compliance-Reifegrad dauerhaft verbesserte.
Erfahrener Lotse für das Audit
Nachdem die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) dem Versicherungskonzern ein Audit seiner IT-Landschaft angekündigt hatte, holte dieser metafinanz an Bord. Wir begleiteten ihn während des gesamten Audit-Prozess und unterstützten in allen Phasen – von der Vorbereitung bis zur Umsetzung der von der BaFin erteilten Aufgaben.
IT-Regulatorik-Welle erfasst die Versicherungsbranche
Ob die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) oder der Digital Operational Resilience Act (DORA): Solche Regelwerke umfassen immer mehr regulatorische Vorgaben für den IT-Betrieb von Versicherungsunternehmen. Banken müssen bereits seit vielen Jahren strenge Anforderungen erfüllen. Seit kurzem nehmen der regulatorische Druck und die damit verbundenen Prüfungen durch die BaFin hingegen auch in der Versicherungsbranche zu. Die Unternehmen stehen häufig vor der Herausforderung, die Vorgaben mit begrenzten Ressourcen zügig in die Praxis umzusetzen.
Lücken identifizieren, Lösungen ableiten
Im konkreten Fall stand ein BaFin Audit gemäß der VAIT bevor. Für die Vorbereitung haben wir zunächst gemeinsam mit dem Versicherer die zahlreichen Vorgaben der VAIT, unter anderem zum Thema Third-Party Provider Risk Management, mit den unternehmensinternen Regeln abgeglichen. Dazu nutzten wir COBIT als Werkzeug: Das „Control Objectives for Information and Related Technology“ (COBIT) ist das Rahmenwerk für das Management und die Steuerung der Unternehmens-IT, welches als Referenzmodell diente. Damit waren wir in der Lage, Regelungslücken, etwa im Third-Party Provider Risk Management, mithilfe einer einheitlichen und transparenten Methodik zu identifizieren, zu kommunizieren und geeignete Lösungen abzuleiten.
Dank COBIT die gleiche Sprache sprechen
Das COBIT-Modell hat noch einen weiteren Vorteil: es ist bei IT-Dienstleistern sehr verbreitet. Im Rahmen der VAIT und des Third-Party Risk Managements muss der Versicherer auch künftig die Risiken, die mit dem Outsourcing an Drittanbieter oder Dienstleister verbunden sind, analysieren. COBIT ermöglicht es dem Konzern, in Zukunft mit seinen Zulieferern in einer normierten Sprache Regeln zur Sicherstellung der Compliance zu vereinbaren. Das wiederum erleichtert es dem Versicherer, die Vorgaben der VAIT zu erfüllen.
Wissen, worauf es ankommt
Ein weiterer Bestandteil unserer Arbeit war das Trainieren und Vorbereiten des Versicherers für die bevorstehenden BaFin-Audit-Interviews. Dafür haben wir gemeinsam Storylines erarbeitet und die Interviewsituation simuliert sowie Beispielinterviews durchgeführt. Darüber hinaus prüften wir sämtliche Dokumente und Informationen, bevor sie an die BaFin geschickt wurden. Bereits während des Audits hat unser metafinanz-Team analysiert, in welchen Bereichen die BaFin wahrscheinlich Feststellungen machen wird. Das ermöglichte es uns, frühzeitig Antworten und Maßnahmen vorzubereiten.
Herausforderungen erfolgreich gemeistert
Zwei Faktoren machten das Projekt besonders herausfordernd: Die von der BaFin vorgegebene, knapp bemessene Zeit und die überschaubare Datenqualität in Teilbereichen des Unternehmens. Die erste Herausforderung meisterten wir dank eines sehr eng getakteten Vorgehens. Die zweite Herausforderung, die eingeschränkte Datenqualität, wurde durch gezielte Vorschläge und Maßnahmen entscheidend verbessert.
Alle Disziplinen in einem Team vereint
Ein BaFin Audit ist nicht nur ein zeitintensiver, sondern auch ein sehr fordernder Prozess, der vielfältige Expertise in kurzer Zeit verlangt: Einerseits braucht es die IT-Verantwortlichen, die den Überblick über Infrastruktur, Tools, Systeme und Drittanbieter haben. Andererseits ist es kein reines IT-Thema. Auch Governance-Spezialist:innen und Audit-Fachleute sind für die Begleitung des Prüfungsprozesses notwendig. Dieses Know-how konnten wir beisteuern, indem wir ein Projektteam mit Expert:innen aus allen relevanten Disziplinen zusammenstellten.
Management Attention sorgt für Auftrieb
Entscheidend für die erfolgreiche Vorbereitung und Begleitung des Audits war die Zusammenarbeit mit dem Management des Unternehmens. Dessen Mitglieder waren immer ansprechbar und haben sich Zeit genommen. Außerdem haben sie dem Audit im Konzern eine hohe Priorität eingeräumt, was die Kooperation und Abläufe zusätzlich beschleunigte. Bedeutend war zudem, dass das Management für Ratschläge und Tipps immer offen war und diese gerne entgegengennahm.
Bewusstsein von Compliance gestärkt
„Du kannst die Wellen nicht stoppen, aber du kannst lernen, auf ihnen zu surfen“ – für Compliance-Themen in der Versicherungsbranche ist das ähnlich. Denn es kommen laufend neue Vorgaben hinzu, die umgesetzt werden müssen. Daher empfiehlt es sich, regulatorische Neuerungen frühzeitig auf dem Radar zu haben – und ebenso frühzeitig zu agieren. Das hat auch der von uns betreute Versicherer erkannt. Er beauftragte metafinanz im Anschluss an die erste Zusammenarbeit mit der Implementierung der auferlegten VAIT-Maßnahmen und der zusätzlichen Implementierung von DORA-Anforderungen.
Kontakt
Schreiben Sie uns!
Gerhard Guenther
IT Governance & Regulatorik Experte für den Finanzmarkt
Leider ist etwas schief gelaufen. Bitte versuchen Sie es später nochmal.
Danke für Ihre Nachricht
Wir melden uns so schnell wie möglich bei Ihnen
