Das Fachmagazin für institutionelle Investoren

Geben Sie Ihren Benutzernamen und Ihr Passwort ein, um sich an der Website anzumelden:

Institutioneller will Volatilitätsprämien vereinnahmen!

Ad

Ein Großanleger tätigt über das Mandate-Tool eine Ausschreibung betreffend Vereinnahmung der Volatilitätsrisikoprämie. Mehr Informationen zum Mandat erhalten nur registrierte User. Mehr erfahren >>

Anzeige
2/2019 | Steuer & Recht
twitterlinkedInXING

Upgrade per Verordnung

Die betriebswirtschaftliche Notwendigkeit der IT-Erneuerung wird jetzt regulatorisch forciert – zuerst bei den Banken und aktuell durch die „Versicherungsaufsichtlichen Anforderungen an die IT“ (VAIT) bei den Versicherungsunternehmen.

1560331808_adobestock_nomad_soul_133340326_60.jpg

„Bring deine Daten in Ordnung!“ ist der Tenor der aktuellen IT-Regulierungen in der Finanzbranche. Ziel ist es, präzisere Informationen schneller zur Verfügung zu haben, um insbesondere in Krisensituationen angemessen reagieren zu können. Aber die Anforderungen sind tiefgreifend und die IT-Systeme der Banken und Versicherer oft über Jahrzehnte gewachsene Flickenteppiche.

© Nomad_Soul | stock.adobe.com

Dass die staatliche Förderbank KfW im September 2008 „irrtümlich“ 300 Millionen US-Dollar in die da schon insolvente Investmentbank Lehman Bro­thers überwiesen hat, könnte man mit etwas Wohlwollen auch unter „Fehler passieren“ einordnen. Dass dieselbe Bank im März 2017 aufgrund von Softwarefehlern neuerlich Fehlüberweisungen im Wert von mehreren Milliarden Euro durchführte, sagt ­jedoch etwas über ihre diesbezügliche Lernkurve aus. Die Fehler wurden gefunden und die Transaktionen rückabgewickelt. Die Bank für Wiederaufbau ist auch keineswegs das einzige Geldinstitut, dem „Irrtümer“ dieser Art widerfahren sind – und dabei kann man davon ausgehen, dass die meisten derartigen Missgeschicke gar nie an die ­Öffentlichkeit dringen. Die bekannten Fälle machen aber verständlich, warum sich auch Gesetzgeber und Finanzmarktaufsichtsbehörden mit der Informationstechnologie von Finanzdienstleis­tungsunternehmen beschäftigen müs­sen. Die entsprechenden Regelungen für Banken wurden in der Basler Richtlinie „BCBS 239“ festgehalten, für die Versicherungsunternehmen trat die „Delegierte Verordnung (EU) 2015/35“ der EU-Kommission in Kraft. Weil die überregionalen Vorschriften aber sehr allgemein gehalten waren, wurden sie von den einzelnen EU-Ländern mehr oder minder stark konkretisiert – in Deutschland etwa durch die MaRisk 2016 und deren neuen Abschnitt AT 4.3.4 (für Banken). Für Versicherungen wurden das VAG beziehungsweise die Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo) entworfen. Später wurde die BaFin noch konkreter und setzte Anfang Juli 2018 das Rundschreiben „Versicherungsaufsichtliche Anforderungen an die IT (VAIT)“ ab, an deren Umsetzung die Versicherungsbranche bis heute arbeitet. Dieses Rundschreiben richtet sich an alle Versicherungsunternehmen, Sterbekassen, Pensionskassen sowie Pensionsfonds. Da es sich bei VAIT nur um die Auslegung bestehender gesetzlicher Regelungen hinsichtlich der IT-Organisation handelte, sind die darin for­mulierten Anforderungen unmittelbar nach Veröffentlichung verpflichtend umzusetzen, allerdings gibt es dabei Spielräume, wie ­Jana Ebner, die als Senior Consultant beim Frankfurter Beratungshaus TME AG tätig ist, erläutert: „Grundsätzlich stellen die VAIT eine Konkretisierung bereits bestehender Vorschriften aus dem VAG beziehungsweise aus den Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo) hinsichtlich IT dar. Dennoch handelt es sich sowohl bei den BAIT als auch bei den VAIT um ein prinzipienbasiertes, qualitatives Aufsichtsrecht, sodass die exakte Umsetzung von Haus zu Haus unterschiedlich sein kann.“

Schwierige Ausgangslage

„Unterschiedlichkeit“ und „Uneinheitlichkeit“ sind Reizwörter, wenn es um die Informationstechnologie von Banken und Versicherungen geht. Genau hier sehen damit vertraute Spezialisten wie Felix Diem, Managing Director des IT-Dienstleisters ­FinAPU GmbH in Wien, ebenso den Auslöser für die Notwendigkeit einer Erneuerung wie auch das größte Problem bei der Umsetzung: „Aus meiner Erfahrung ist eine umfassende Betrachtungsweise notwendig, da viele IT-Systeme ineinandergreifen und Insellösungen mittelfristig nachteilig sind. Das heißt nicht, dass nicht verschiedene Sys­teme verwendet werden sollen. Aber ­gerade in diesem komplexen Themenbereich wäre eine vernetzte IT-Infrastruktur notwendig, da die Schadenssummen durchaus beachtlich sein können. Missstände solcher Art können in normalen Zeiten gutgehen – in Krisenzeiten aber zur Destabilisierung von ohnehin schon verwundbaren Sys­temen führen.“

Die Aufseher wollen mit den neuen IT-Vorschriften nicht zuletzt die uneinheitlichen IT-Lösungen von Banken, Versicherungen und Asset Managern und die zum Teil sehr alten IT-System-Bestandteile, die mit den neuen Applikationen oft schwer kompatibel sind, bekämpfen. Allerdings bieten die Behörden naturgemäß keine Hilfe bei der Lösung technischer Probleme, sondern formulieren Regeln, die dazu führen sollten, dass alle für das Unternehmensmanagement und die Aufsicht relevanten Zahlen zeitnah bereitstehen – nicht nur im Tages­geschäft, sondern insbesondere auch in Stressphasen.

Versicherer ächzen

Und obwohl das Rundschreiben keine Überraschung war und seine Sinnhaftigkeit für alle Betroffenen nachvollziehbar ist, ächzt die Versicherungsbranche unter der Last des neuen Regelwerks. Patrik Maeyer, Leiter Betriebswirtschaft und Informationstechnologie beim Gesamtverband der Deutschen Versicherungswirtschaft (GDV), erklärt: „Die VAIT enthalten eine Fülle von zusätzlichen Dokumentationsvorgaben – von der IT-Strategie mit Mindestinhalten über die Regelungen der unterschiedlichsten Bereiche wie zum Beispiel: IT-Aufbau- und IT-Ablauforganisation, Arbeitsablaufbeschreibungen, Sollmaßnahmenkatalog, Statusbericht, schriftliche Informationssicherheitsleitlinie, Notfallkonzept, Benutzerberechtigungsmanagement, IDV-Richtlinie und zentrales Register sowie Datensicherungskonzept.“ Die Fülle dieser Anforderungen, so klagt Maeyer, könnte zur Herausforderung für die Unternehmen werden. Schließlich seien die VAIT nicht die einzigen Vorschriften zum Thema IT-Sicherheit. Parallel dazu müsse auch das IT-Sicherheitsgesetz für die Versicherungswirtschaft berücksichtigt werden. „Die Unternehmen müssen somit eine Reihe von Pflichten erfüllen und regelmäßig mehrere Regulierungsebenen beachten“, so Maeyer.

Daher stecken die meisten Unternehmen noch in der Umsetzungsphase, etwa die ­Gothaer Versicherung: „Wir haben bereits sehr früh eine sogenannte VAIT-Impact-Analyse durchgeführt. Ziel dieser Analyse war es, den Reifegrad in Bezug auf die ­Anforderungen der VAIT zu ermitteln. Die daraus resultierenden Handlungsempfehlungen und Maßnahmen wurden in einem speziellen VAIT-Projekt geplant. Dieses befindet sich derzeit in Umsetzung und umfasst Maßnahmen aus allen Themengebieten der VAIT. Dabei liegt unser Fokus auf den Themengebieten IT-Ausgliederung, Informa­tionssicherheitsmanagement und Risiko­management“, erklärt eine Unternehmenssprecherin.

Langwieriger Prozess

Dieser Status quo könnte zu Problemen führen, denn während die einen erst dabei sind, die Vorschriften umzusetzen, prüfen die anderen bereits deren Einhaltung. Dabei wird deutlich, dass eine Umstellung der IT-Systeme ein Prozess ist, der kaum von einem Tag auf den anderen perfekt umsetzbar ist. Dazu ein BaFin-Sprecher: „Die VAIT sind seit Juli 2018 in Kraft. Seitdem führen wir neben Gesprächen und Umfragen auch gesonderte Prüfungen bei Versicherungsunternehmen durch, um die Umsetzung der VAIT zu beurteilen.“ Hierbei habe die BaFin zum Beispiel Schwächen bei der Umsetzung der IT-Governance, des Informationsrisikomanagements und des Informationssicherheitsmanagements sowie bei Ausgliederungen festgestellt.

Speziell bei Ausgliederungen an Cloud-Anbieter standen die Versicherungsunternehmen offenbar vor massiven regulatorischen Herausforderungen – und das bereits bei den Vertragsverhandlungen. „Wir sind daraufhin mit verschiedenen Cloud-Anbietern in Dialog getreten“, erklärt der BaFin-Sprecher. Ein Schwerpunkt der Gespräche sei die Ausgestaltung der Verträge gewesen, die auch die aufsichtsrechtlich relevanten Vorgaben erfüllen sollten, also beispiels­weise Informations- und Prüfungsrechte der beaufsichtigten Unternehmen und der Aufsicht. Zudem hat die BaFin eine Orientierungshilfe zu Auslagerungen an Cloud-Anbieter veröffentlicht, um „für die beaufsichtigten Unternehmen ein Problembewusstsein im Umgang mit Cloud-Diensten und den damit verbundenen aufsichtsrechtlichen Anforderungen zu schaffen“.

Lehrstück Banken-IT

Aber nicht nur die technische Erstellung einer neuen IT-Organisation stellt eine Herausforderung dar, es gibt darüber hinaus auch Vorbehalte seitens der Belegschaft. „Die VAIT betrifft viele Teilbereiche der täglichen Arbeit. Das kann dazu führen, dass Mitarbeiter und Mitarbeiterinnen ihre vermeintlichen Schlüsselpositionen aufgeben müssen, da Ersetzbarkeit und Funk­tionstrennungen wesentliche Aufsichtskriterien sind. Diese Widerstände gilt es zu überwinden und in den Systemen Rollen mit Funktionen zu definieren, die auch von den Mitarbeitern und Mitarbeiterinnen unterstützt werden“, berichtet Diem aus seiner beruflichen Erfahrung.

Bei der BaFin zeigt man für diese Herausforderungen doch einiges Verständnis: „Wir sind uns bewusst, dass die Umsetzung der VAIT ein Prozess ist. Dabei begleiten wir die ­Unternehmen eng“, erklärt ein BaFin-Sprecher. So hat die BaFin ein „Exper­ten­gre­mium IT“ eingerichtet, das sich aus Branchenvertretern und Vertretern der Aufsicht zusammensetzt „und so den Austausch zwischen der Versicherungsbranche und der Aufsicht fördern soll“.

Da die Banken ihre neue IT-Regulierung mehr als ein halbes Jahr früher umsetzen mussten als die Versicherer, lohnt sich ein Blick darauf, wie es mit der Umsetzung lief. Auch sie hätten die Anforderungen der BAIT sofort nach deren Veröffentlichung ­erfüllen müssen, „aber die zahlreichen Feststellungen bei aufsichtsrechtlichen Prüfungen weisen da­rauf hin, dass es bei vielen Banken immer noch einen erheblichen Nachholbedarf gibt“, beobachtet Ebner und fährt fort: „Die Anforderungen sind tiefgreifend und die IT-Systeme der Banken aufgrund der heterogenen, historisch gewachsenen IT-Architekturen sehr unflexibel.“ Konkret bereitet es große Schwierigkeiten, die Daten zu aggre­gieren, und oft fehlen die Schnittstellen. Entsprechend langwierig ist die Umsetzung in der Praxis.

„Allerdings wird sowohl bei den Banken als auch bei den Versicherungsunternehmen das Proportionalitätsprinzip angewendet. Das hilft insbesondere den kleineren Häusern“, meint Ebner.

Da die Personalkapazitäten bei den Projekten oft bereits wieder abgebaut sind, wenn die Feststellungen kommen, setzen Banken derzeit auch externe Berater ein, die für die Beseitigung der Feststellungen sorgen. „Als Berater nimmt man sich dann den BaFin-Prüfungsbericht vor und beseitigt den jeweiligen Mangel nach Möglichkeit bis zur Nachprüfung“, berichtet Ebner aus ihrem Berufsalltag. Eine ähnliche Vorgehensweise dürfte sich auch bei den Versicherungsunternehmen etablieren, wenn dort die ersten aufsichtsrechtlichen Feststellungen kommen.

Externes Geschäft

Offenbar ist die Modernisierung der Informationstechnologie ein Imperativ, der sich durch die gesamte Finanzbranche zieht. Ein Entwurf des Rundschreibens „Kapitalverwaltungsaufsichtliche Anforderungen an die IT“ (KAIT) befindet sich derzeit in der Konsultationsphase, deren Frist am 15. Mai 2019 endet. Die KAIT konkretisieren unter anderem die in den „Min­destanforderungen an das Risikomanagement von Kapitalverwaltungsgesellschaften“ (KAMaRisk) enthaltenen Anforderungen an die IT. Hier sieht Lutz Johanning von der WHU Otto Beisheim School of Management noch Poten­zial: „Conditio sine qua non für zukunftsträchtiges aktives Asset Management ist eine effiziente IT-Infrastruktur, die eine intel­ligente Analyse der anlagerelevanten Daten ermöglicht.“ Besonderes Augenmerk legt er auf die Kostenanalyse: „Eine effiziente ­Messung der Transaktionskosten setzt die saubere Aufbereitung der Kurs- und Orderdaten voraus. Das kann nur mit einer ­modernen IT geleistet werden.“

Anke Dembowski


Anhang:

twitterlinkedInXING
 Schliessen

Mit der Nutzung dieser Website stimmen Sie der Verwendung von Cookies und unserer Datenschutzerklärung zu. Mehr erfahren