Forschungsprojekt

"IT-Risikomanagement in der Assekuranz"

Erfolgreiche Initialiserungsveranstaltung

Am 24. Juni 2010 trafen sich Vertreter von fünf Versicherungshäusern zur Initialiserungsveranstaltung des Forschungsprojektes „IT-Risikomanagement in der Assekuranz“. Nach zweier fachlich einführenden Beiträgen stellten die Versicherungsforen Leipzig das geplante Konzept des Forschungsprojektes zur Diskussion. Dieses wurde von den Teilnehmern insgesamt als schlüssig im Aufbau und Ablauf bewertet. U.a. wurden weitere inhaltliche und organisatorische Kernpunkte wie folgt festgehalten:

Ausgangssituation & Projektvorhaben

Best Practice im IT-Risikomanagement von Versicherungsunternehmen

Mit der Verabschiedung europaweit einheitlicher Solvabilitätsanforderungen durch Solvency II steht der Assekuranz eine neue Umbruchsituation bevor. Diesem Umstand wurde in Deutschland mit der Einführung der MaRisk VA vor über einem Jahr Rechnung getragen. Letztere sind eine verbindliche Vorgabe für das qualitative Risikomanagement und stellen somit die Umsetzung der zweiten Säule von Solvency II in deutsches Recht dar.

Die MaRisk VA sind prinzipienbasiert aufbereitet und geben nur einen flexiblen Rahmen für das Risikomanagement vor. Dies stellt eine besondere Herausforderung für die deutschen Versicherer dar, da nur Angaben getroffen werden, welche Elemente eines Risikomanage-ments in den Unternehmen vorhanden, nicht jedoch, wie diese konkret ausgestaltet sein müssen. Laut einer Ernst & Young-Studie* planen 88 Prozent der deutschen Versicherer die MaRisk VA in 2010 vollständig umzusetzen. Gemäß der Studie herrscht derzeit jedoch noch ein Missverhältnis in der Einschätzung des Er-füllungsgrads der MaRisk VA im eigenen Un-ternehmen vor: Über 50 Prozent der Versicherer schätzen sich besser ein als den Marktdurchschnitt, aber nur 15 Prozent schlechter.

Die BaFin behält sich vor, Sanktionen gegenüber den Versicherern zu erheben, falls deren Management der Risiken nicht den unternehmensindividuellen Gegebenheiten wie Art und Umfang des Geschäftsbetriebs, Komplexität des gewählten Geschäftsmodells und insbesondere den unternehmensindividuellen Risiken angemessen ist. Vor allem das Risikomanagement i.e.S. – also der Risikokontrollprozess (vgl. Abbildung) aus Identifikation, Analyse/Bewertung, Steuerung und Überwachung – hat dabei noch mit erheblichen Defiziten zu kämpfen.

So sind die Teilprozesse Identifikation, Bewertung und Überwachung nur bei etwas mehr als 50 Prozent der Unternehmen MaRisk-konform umgesetzt, der Teilprozess Steuerung sogar nur bei ca. 30 Prozent .

Im Hinblick auf Solvency II wird durch die MaRisk VA erstmals explizit adäquates Sicherheitskapital auch für IT-Risiken, die zu den operationellen Risiken gehören, gefordert. Dadurch gewinnen entsprechende Methoden des IT-Risikomanagements zunehmend an Bedeutung. Die Problematik besteht in diesem Kontext darin, dass nur wenig verwertbare Daten über IT-Risiken und ihre potenziellen Auswirkungen verfügbar sind. Dies ist u.a. dadurch bedingt, dass die Datensammlungen der Versicherer noch sehr jung und damit wenig ausführlich sind.

Dementsprechend erschwert es der Umstand erheblich, dass IT-Risiken erst in den letzten Jahren – aufgrund der zunehmenden Technologisierung – verstärkt Berücksichtigung gefunden haben, einen adäquaten Risikokontrollprozess vor allem für IT-Risiken zu etablieren.

* Vgl. Schlögl, A.; Hofmann, D.: 1 Jahr MaRisk (VA) – Ergebnisse einer EY-Studie, URL: http://www.qx-club.de/20100105.pdf

Ziele und Ergebnisse des F&E-Projekts

Ziel dieses Projekts ist die Erarbeitung eines umfassenden Leitfadens für Best Practice Risikokontrollprozesse für IT-Risiken, der unternehmensübergreifend ist und durch Adaption den unternehmensindividuellen Gegebenheiten gerecht wird.

Die Projektergebnisse sollen dabei durch gemeinschaftliche, praxisgerechte und handlungsorientierte Entwicklungsarbeit erreicht werden. Im Vordergrund steht hierbei insbesondere der Erfahrungsaustausch zwischen den Teilnehmern.

Organisation und Durchführung

In dem eintägigen Initialisierungstreffen konkretisieren alle Teilnehmer gemeinsam die Zielsetzung, die Vorgehensweise und die geplanten Ergebnisse des F&E-Projektes. Darauf basierend werden in 3-4 Veranstaltungsblöcken (á 2 Tage) die Ergebnisse schrittweise gemeinschaftlich erarbeitet. Die Projektarbeit findet im Wesentlichen in den Projektmeetings statt, welche voraussichtlich in Leipzig durchgeführt werden. Zwischen den persönlichen Treffen werden für alle Teilnehmer Arbeitspakete definiert, die im Rahmen der Arbeitstreffen verwertet werden und die ebenfalls in das Forschungsergebnis einfließen. Die beteiligten Unternehmen verpflichten sich, die von Ihnen zu erstellenden Unterlagen termingemäß einzureichen. Von den teilnehmenden Unternehmen werden fachliche und technische Mitarbeiter für das Projekt benannt.

Die Ergebnisse stehen den Projektteilnehmern zur Weiterentwicklung frei zur Verfügung.

Weiterführende Informationen finden Sie in dem Exposé in der rechten Informationsbox. Rückfragen beantworten wir Ihnen gern. Sprechen Sie uns an!