Versicherungen unterliegen wie viele andere Branchen einer strengen Regulierung durch Behörden. Fast monatlich kommen neue Anforderungen hinzu. Hierdurch wird Regulatorik immer mehr zu einem wesentlichen Treiber neuer Projekte und Veränderungen. Oft bleibt aber eine gewisse Unsicherheit bestehen: Hat das Unternehmen die häufig recht allgemeinen Anforderungen vollständig verstanden, hinreichend umgesetzt und ist damit auf eine Prüfung gut vorbereitet?

Ein junges Beispiel solcher regulatorischen Anforderungen sind die „Versicherungsaufsichtlichen Anforderungen an die IT“ (VAIT) der Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin). In diesem Werk legt die Bafin ihre Anforderungen an die IT einer Versicherung dar. Beim ersten Lesen findet man kaum einen Punkt, dem man nicht vorbehaltlos zustimmen möchte, den man nicht geradezu als Selbstverständlichkeit betrachten möchte und auch als sicher umgesetzt im eigenen Unternehmen annimmt. Trotzdem sollte man dem ersten Impuls, das Dokument als bereits erfüllt zu betrachten, widerstehen.

Erwartungen der Aufsicht

Zuerst einmal muss sich das Unternehmen darüber im Klaren sein, was Aufsichtsbehörden und Prüfer erwarten. Wie weist man als Unternehmen nach, dass man die Anforderungen erfüllt? Hier orientieren sich Prüfer an vier Punkten:

1. Klar dokumentierte Verfahren

Alle Prozesse, Arbeitsanweisungen und Verfahren sind schriftlich zu dokumentieren. Abläufe, Rollen, Kompetenzen, Verantwortlichkeiten, Entscheidungsspielräume, Schnittstellen, Annahmen und Sonderfälle sind hier festzulegen. Dabei muss nachgewiesen werden können, dass alle betroffenen Mitarbeiter dieses Dokument auch kennen, und dass es für sie verbindlich ist.

2. Nachweise der Einhaltung

Für jeden Vorgang, der nach dem Verfahren abzuarbeiten ist, muss gezeigt werden können, dass genau dies auch geschehen ist. Dies kann durch schriftliche Protokolle erfolgen, aber natürlich auch durch Tickets oder andere elektronische Nachweise. Hierbei wird großen Wert daraufgelegt, dass Freigaben durch verantwortliche Mitarbeiter jederzeit nachvollziehbar dokumentiert sind.

3. Nachhaltigkeit

Teil des dokumentierten Verfahrens sind Maßnahmen, die sicherstellen, dass der Prozess eingehalten wird und der Abdeckungsgrad immer weiter steigt. Implizite Maßnahmen zur Erkennung von Abweichungen vom Prozess oder von manueller Arbeit am Prozess vorbei sind wichtig.

4. Kontinuierliche Verbesserung

Innerhalb der Beschreibung sollten Messwerte für die Effizienz des Prozesses festgelegt werden. Hieraus können Trends erkannt und gegebenenfalls Maßnahmen zur Verbesserung ergriffen werden. In einigen Bereichen fordern die VAIT dieses Vorgehen auch explizit.

Von der Anforderung zum Projekt

Regulatorische Anforderungen betrachtet man wie fachliche Anforderungen im Unternehmen, die in ein Projekt münden. Als Beispiel eignet sich die erste Anforderung der VAIT (VAIT 10/2018 – Randnummer 1):

Die Geschäftsleitung hat eine mit der Geschäftsstrategie konsistente IT-Strategie festzulegen, in der die Ziele sowie die Maßnahmen zur Erreichung dieser Ziele dargestellt werden. Die IT-Strategie ist durch die Geschäftsleitung regelmäßig und anlassbezogen zu überprüfen und erforderlichenfalls anzupassen. Die Geschäftsleitung muss für die Umsetzung der IT-Strategie Sorge tragen.

Hierauf wendet man die gleichen Schritte an, wie bei jedem regulatorischen Projekt:

1. Anforderungen sezieren und ordnen

Oft sind regulatorische Dokumente ein langer Fließtext ohne innere Struktur und ohne sinnvolle Reihenfolge. Deshalb sollten zuerst alle Anforderungen durchnummeriert und in Gruppen sortiert werden.

Dies ist bei den VAIT allerdings bereits gut vorbereitet, die Bafin hat sie weitgehend sortiert und mit Randnummern versehen. Allerdings fasst ein Punkt oft mehrere Aspekte zusammen, die man einzeln betrachten sollte. Hier:

1. Es muss eine IT-Strategie geben
2. Sie muss klar aus der Geschäftsstrategie ableitbar sein
3. Sie muss konkrete, messbare Ziele enthalten
4. Sie muss Maßnahmen zur Erreichung der Ziele enthalten
5. Die Verantwortung für die Umsetzung der Maßnahmen liegt bei der gesamten Geschäftsleitung
6. Die IT-Strategie muss durch die Geschäftsleitung verabschiedet werden
7. Sie muss regelmäßig und anlassbezogen geprüft werden
8. Sie muss aktuell gehalten werden

Solche Ansammlungen von Einzelaspekten in einer einzelnen Anforderung sind nicht selten, und die VAIT besteht aus siebzig Anforderungen.

2. Unklare Punkte identifizieren und Standpunkte festlegen

Da die Anforderungen nicht aus dem eigenen Unternehmen stammen, stimmen Sprache und implizite Annahmen nicht überein. Hier müssen die Anforderungen so ergänzt und erklärt werden, dass sie im Unternehmen verstanden werden.

Im Beispiel ist zu klären, wer denn die Geschäftsleitung ist. Die Bafin stellt in den Vorbemerkungen klar, dass immer die gesamte Geschäftsleitung gemeint ist, nicht einzelne Geschäftsleiter. In einem Versicherungsverein auf Gegenseitigkeit oder einer Aktiengesellschaft wird diese Funktion durch den Vorstand wahrgenommen.

Anforderungen in der Regulatorik sind oft in einer gewissen Flughöhe beschrieben. Im Gegensatz zu fachlichen Anforderungen ist es schwieriger nachzufragen, wie sie zu interpretieren sind. Eigene Festlegungen müssen hier getroffen und dokumentiert werden. Wichtig ist hierbei, verschiedene Standpunkte einzunehmen. Wie interpretiert die Anforderung die IT, ein Fachbereichsmitarbeiter, ein externer Partner, ein Revisor, ein Vorstand, ein gutwilliger Prüfer, ein strenger Prüfer, ein Jurist?

In dieser Bandbreite muss das Unternehmen seine Position finden. In einer späteren Diskussion mit Auditoren hat es sich immer als nützlich erwiesen, klar darlegen zu können, aufgrund welcher Annahmen, Voraussetzungen und Entscheidungen man welche Festlegungen getroffen hat. Im Beispiel der Strategie wäre unter anderem festzulegen, welche Anlässe man als „anlassbezogen“ für wesentlich hält, wie und durch wen diese Anlässe identifiziert werden und welche Anlässe als unwesentlich verworfen werden.

3. Abweichungen bestimmen und beschreiben

Nun geht es daran, den eigenen Stand mit den Anforderungen zu vergleichen. Die Unterschiede sind zu dokumentieren. Hieraus ergeben sich die Handlungsfelder für die Implementierung.

Hierbei zahlen sich die Vorarbeiten der beiden vorgenannten Punkte aus. Man prüft in unserem Beispiel die acht Teilaspekte auf ihren Stand:

1. Gibt es bereits eine IT-Strategie?
2. Gibt es Widersprüche zur Geschäftsstrategie? Kann man die Ableitung klar darstellen?
3. Enthält die IT-Strategie messbare Ziele?
4. Enthält sie zu den Zielen passende Maßnahmen?
5. Verfolgt der Gesamtvorstand die Umsetzung der Maßnahmen regelmäßig nach, um seiner Verantwortung gerecht zu werden?
6. Ist die IT-Strategie durch den Gesamtvorstand verabschiedet worden?
7. Wird die IT-Strategie regelmäßig und passend zu den definierten Anlässen überprüft?
8. Wird sie dabei auch angepasst?

Hierbei reicht es nicht, das Gefühl zu haben, die Punkte zu erfüllen. Hilfreich sind wieder die ersten Punkte des Artikels zur Erwartung der Aufsicht: Ist das Verfahren klar dokumentiert? Werden Nachweise für die Einhaltung erstellt? Ist die Nachhaltigkeit sichergestellt? Gibt es Prozesse und Messwerte zur Verbesserung?

Nur wenn man diese Fragen klar mit Ja beantworten kann, gibt es keine Abweichung zur Anforderung.

4. Maßnahmen festlegen und umsetzen

Wenn die Abweichungen klar beschrieben sind, besteht der nächste Schritt darin, Maßnahmen zur Behebung festzulegen und umzusetzen. Hierbei liegt die besondere Herausforderung darin, das richtige Augenmaß zu finden. Die Bafin nennt dies in den VAIT „Proportionalität“.

Ziel ist, angemessene Maßnahmen in Bezug auf das Risiko zu finden. Allerdings ist dieses Risiko von Unternehmen zu Unternehmen höchst individuell. Ein großer Versicherungskonzern mit zehntausenden Mitarbeitern, hoher Fluktuation, weltweitem Geschäft und breitem Angebot hat hier anders zu agieren als ein kleiner Spezial-Versicherer mit wenigen Mitarbeitern, einer überschaubaren Zahl von Kunden, Geschäft ausschließlich in Deutschland und ein paar wenigen Produkten.

Die Anpassung von Maßnahmen im Rahmen der Proportionalität erfolgt üblicherweise in drei Dimensionen:

Breite: Gibt es Anforderungen, die für das eigene Unternehmen nicht relevant sind? Werden durch Anforderungen Risiken adressiert, die im Unternehmen nicht bestehen? Wird ein bestehendes Risiko schon zu einem früheren Zeitpunkt oder durch andere Maßnahmen ausgeschlossen? Dann können solche Anforderungen abgeschlossen werden, ohne konkrete Maßnahmen zu ergreifen.

Tiefe: Gibt es schon andere Maßnahmen, die das adressierte Risiko reduziert haben? Ist das durch die Anforderungen adressierte Risiko im eigenen Unternehmen durch besondere Eigenschaften des Unternehmens besonders klein? Dies könnte beispielsweise die Unternehmensgröße, die Rechtsform, die Produkte, die Kundenstruktur oder die rein nationale Ausrichtung sein. Dann können die Maßnahmen weniger tiefgreifend ausfallen.

Zeitlicher Ablauf: Auch bei der Reihenfolge der Implementierung ist ganz klar der Risiko-Ansatz zu verfolgen. Große Risiken müssen zuerst geschlossen werden, kleinere danach. Diese Dimension verkleinert nicht die Menge der zu implementierenden Maßnahmen, sie gibt vielmehr die Prioritäten vor.

Fazit

Durch diese vier Schritte in regulatorischen Projekten hat man einen Rahmen, mit dem sich auch große und sperrige Vorgaben gut handhaben lassen. Entscheidend für den Projekterfolg ist das Einnehmen verschiedener Blickwinkel auf die Anforderungen und die konsequente Orientierung an den vier Fragen der Prüfer.

Als Unternehmen muss man sich dabei immer wieder folgendes klar machen: zwar liefern regulatorische Projekte nicht einen unmittelbaren Wertbeitrag zum Unternehmenserfolg, aber die Compliance macht einen Unternehmenserfolg erst möglich.

Über den Autoren

Christian Nölke ist Managing Consultant des IT-Dienstleisters Adesso. Er leitet seit vielen Jahren regulatorische Projekte bei Banken und Versicherungen und berät die Unternehmen bei der Konzeption und Umsetzung solcher Projekte.