Versicherer unter Compliance-Druck

Eine Tatsache wurde bislang jedoch gern verdrängt: Die Compliance-Verantwortung für die ausgelagerten IT-Bereiche lässt sich nicht ohne weiteres an einen externen Dienstleister abtreten. Bei mangelnder Konformität mit regulatorischen Auflagen haftet ein Outsourcing-Kunde nicht anders als ein Versicherer, der seine IT in Eigenregie betreibt. Genauso steht es im einleitenden Satz von Paragraf 32 des am 1. Januar 2016 in Kraft getretenen Versicherungsaufsichtsgesetzes (VAG): „Ein Versicherungsunternehmen, das Funktionen oder Versicherungstätigkeiten ausgliedert, bleibt für die Erfüllung aller aufsichtsrechtlichen Vorschriften und Anforderungen verantwortlich.“
Die folgenden Passagen präzisieren, unter welchen Voraussetzungen Outsourcing generell möglich ist – nämlich nur dann, wenn die „ordnungsgemäße Ausführung der ausgegliederten Funktionen und Versicherungstätigkeiten, die Steuerungs- und Kontrollmöglichkeiten des Vorstands sowie die Prüfungs- und Kontrollrechte der Aufsichtsbehörde nicht beeinträchtigt werden“. Explizit fordert das neue VAG zudem, dass sowohl der Versicherer als auch die zuständige Aufsichtsbehörde Zugriff auf alle relevanten Daten haben müssen. Outsourcing darf weder die Servicekontinuität für Versicherungsnehmer gefährden noch zu einer „übermäßigen“ Steigerung des Betriebsrisikos führen.
Mit Blick auf die operationellen Risiken ausgelagerter IT-Systeme hat sich der Compliance-Druck auch durch das Inkrafttreten von Solvency II Anfang 2016 verschärft. Denn Outsourcing-Risiken sind seither monetär zu bewerten und in die Bilanz einzustellen. Hohe Rückstellungen, um auf Nummer sicher zu gehen? Das ist keine gute Option, weil ein zu großer Puffer den Kapitalbedarf unnötig erhöht. Besser ist es, alle Outsourcing-Abläufe einem umfassenden Compliance-Check zu unterziehen.
Versicherer können dann dem Prüfungstermin mit einem VAG-Auditor gelassen entgegensehen.

Im Kern geht es darum, dass alle schutzbedürftigen Anwendungen und Daten im Hinblick auf Integrität, Verfügbarkeit und Authentizität adäquate Sicherheitsanforderungen gemäß VAG erfüllen. Als zentrales methodisches Instrument dafür empfiehlt sich ein internes Kontrollsystem (IKS), das zum einen alle relevanten Risiken und Schutzziele beschreibt und andererseits festlegt, was auf welche Weise kontrolliert werden soll und wer diese Kontrollen wie oft vorzunehmen hat. Dabei ist es hilfreich, sich die Perspektive eines IT-Prüfers der Aufsichtsbehörde zu eigen zu machen. Erfahrungsgemäß prüfen Auditoren meist, ob risikorelevante IT-Prozesse etabliert sind und in angemessener Art und Weise gesteuert und kontrolliert werden. Auch die Verfügbarkeit und Aktualität zugehöriger Dokumentationen steht bei einem Audit auf dem Prüfstand. Eignung und Wirksamkeit der internen Kontrollmaßnahmen werden entweder über einen bestimmten Zeitraum hinweg oder stichprobenartig getestet.
Das zweite Compliance-Standbein ist die IT Infrastructure Library (ITIL), die heute als De-facto-Standard im IT Service Management gilt. Der Beitrag von ITIL zu höherer Compliance im IT-Outsourcing ergibt sich insbesondere durch die dezidierte Service-Sicht und die Bereitstellung passender Workflows, um die im IKS definierten Ziele effizient und nachziehvollbar umsetzen zu können. ITIL erleichtert zudem die eindeutige Zuordnung von Services und Prozessen sowie

Service Level Agreements und Rollen.
Das dritte Compliance-Element sorgt schließlich für eine robuste IT-Governance – und zwar durch die Control Objectives for Information and Related Technology – kurz COBIT: In der Version 5 bildet dieses standardisierte Framework insgesamt 37 IT-Prozesse ab, die von den meisten Auditoren als Grundlage für IKS-Prüfungen herangezogen werden. Dies ist ein Indiz dafür, dass Versicherer durch eine COBIT-Implementierung die Anforderungen aus dem VAG-Paragraphen 32 adäquat erfüllen.

Dreh- und Angelpunkt des IKS ist die geschickte Kombination der beiden Prozessmodelle ITIL und COBIT, die sich beim IT-Outsourcing in idealer Weise ergänzen. In der Praxis kristallisieren sich dabei folgende sieben Kernprozesse heraus, mit denen ein Versicherer VAG-Konformität bei seinem Outsourcing-Dienstleister nachweisen kann.

1. Identity & Access Management:

Die aufgabenbezogene Vergabe von Rechten, wer wann auf welche Anwendungen und Daten zugreifen darf, ist eine anspruchsvolle Herausforderung – vor allem bei einer großen Zahl unterschiedlicher Nutzer wie Businessanwender, Entwickler, Administratoren und technischer User. Dazu gehört auch die Festlegung, wann und unter welchen Umständen Zugriffsrechte wieder erlöschen.

2. IT Security Management:

Ziel ist es, sämtliche Assets, Daten und Dienste hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit zuverlässig zu schützen – eine mannigfaltige und überaus vielschichtige Aufgabe. Als Richtschnur kann hier der Anhang der ISO-Norm 27001 (http://www.iso.org/iso/iso27001) herangezogen werden. Am besten der Outsourcing-Provider ist bereits ISO-zertifiziert.

3. Change Management:

Hier geht es um die Minimierung etwaiger negativer Auswirkungen, die Änderungen an ausgelagerten Systemen nach sich ziehen können. Insbesondere gilt es, sämtliche Änderungsprozesse zeitnah, vollständig und nachvollziehbar zu dokumentieren.

4. Incident Management:

Bei Stör- und Fehlerfällen müssen die betroffenen Anwendungen und Systeme so schnell wie möglich wiederhergestellt werden. Welche Reaktionszeiten sind dafür mit dem Outsourcing-Dienstleister vereinbart? Und wie wurde überprüft, ob der Dienstleister tatsächlich in der Lage ist, die zugesagten Fristen einzuhalten?

5. IT Operations Management:

Auch die Betriebsprozesse der IT-Infrastruktur beim Provider sind Gegenstand von Compliance-Audits. In welchem Zeitfenster werden beispielsweise verlorene Daten mit professionellen Backup-Recovery-Verfahren wiederhergestellt? Auch ein Monitoring zur präventiven Störungsvermeidung sowie zur Verhinderung unbefugter Zugriffe auf Versicherungsdatenbanken gehört in diesen Kontext.

6. Software Development Lifecycle:

Intransparenter Programmcode ist ein schwer kalkulierbares Risiko. Umso wichtiger ist es, dass bei Planung, Entwicklung, Test und Einsatz nachvollziehbare Kriterien zugrunde gelegt werden. Auch hier empfiehlt sich die Anlehnung an internationale Standards, zum Beispiel an ISO 12207 (http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csn…).

7. Business Continuity Management:

Stabile, unterbrechungsfreie Geschäftsprozesse, die von ausgelagerten IT-Systemen unterstützt werden, erfordern eine Business Impact Analyse sowie ein Wiederanlaufkonzept für Not- und Krisenfälle. Als Orientierung kann hier die ISO-Norm 22301 (http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csn…) dienen.
Nachweisen lässt sich das wirksame Zusammenspiel dieser sieben Prozesse durch ein sogenanntes ISAE 3402-Testat. Diese Prüfnorm hat sich im Outsourcing als internationaler Standard durchgesetzt und wird von vielen Wirtschaftsprüfungsgesellschaften als Kriterium für die IKS-Funktionsfähigkeit bei IT-Dienstleistern herangezogen. Es ist daher ratsam, mit dem Outsourcing-Provider eine jährliche Testierung gemäß ISAE 3402 vertraglich zu vereinbaren. Unter dieser Voraussetzung können Compliance-Verantwortliche bei Versicherern auch in der Nacht vor einem VAG-Audittermin entspannt und ruhig schlafen.