Governance-System in Versicherungsunternehmen gemäß Solvency II:
Berücksichtigung der Risiken und Kontrollen ausgelagerter Funktionen und Dienstleistungen im eigenen Governance-System
Ausgelagerte Funktionen und Dienstleistungen sind gängige Praxis und umfassen beispielsweise Archivierungsprozesse, Inkasso oder die IT. Dabei verlässt sich das auslagernde Unternehmen in der Regel darauf, dass die Prozesse ordnungsgemäß durchgeführt werden. In der Regel werden das Endergebnis bzw. die vereinbarten Service Level Agreements geprüft und auf Basis dessen der Dienstleister beurteilt. Aber die Sicherheit, dass hinter den verschlossenen Türen des Dienstleisters eine ordnungsmäßige Verarbeitung stattfindet, kann ohne weiteren Aufwand nicht erlangt werden.
Die folgenden Punkte sind u.a. an die Solvency-II-Anforderungen angelehnt (können aber branchenübergreifend angewendet werden) und sollen einen kurzen exemplarischen Überblick darüber geben, welche Themen in Verbindung mit dem Thema Outsourcing bedacht werden sollten und welche Möglichkeiten es geben kann, um sich über den Status quo der Risiken und Kontrollen beim Dienstleister zu informieren:
Vertragliche Regelung des Auskunftsrechts
Die Verträge mit den Dienstleistern sollten ein Auskunfts- und Prüfungsrecht beinhalten. Es kann geregelt werden, auf welche Art und Weise das ausgliedernde Unternehmen sich diese Auskunft einholen kann. Eine der effektivsten Regelungen ist die, dass die eigene Revision die relevanten Prozesse beim Dienstleister prüfen darf. Neben dem Auskunftsrecht, sollte u.U. auch ein Weisungsrecht verankert werden, auf dieses in diesem Artikel jedoch nicht weiter eingegangen wird.
Überblick über Risiken und IKS verschaffen
Wie bereits erwähnt kann die eigene Revision sich im Rahmen der Prüfung einen Überblick über Risiken und IKS verschaffen. Eine andere Möglichkeit wäre auch die, Anbieter danach auszuwählen, ob diese sich einer PS 951, ISAE 3402 bzw. SSAE 16 Prüfung unterzogen haben. Diese Prüfungen spiegeln den Zustand und die Wirksamkeit des IKS wieder. Ausführliche Informationen zu diesen Prüfungen erhalten Sie hier.
Nicht allein auf ISO-Zertifizierungen verlassen
ISO-Zertifizierungen werden gerne als Werbemittel verwendet, um aufzuzeigen, dass eine Ordnungsmäßigkeit der Prozesse vorliegt. Dabei liegt der Fokus von ISO-Prüfungen nicht darin, die Wirksamkeit der Kontrollen von speziellen Prozessen zu belegen, sondern zeigen im Normalfall die Eignung eines Managementsystems auf (z.B. ISO 9001 zum Qualitätsmanagement).
Datenschutz
Eines der wesentlichsten Risiken, welches in Zusammenhang mit Auslagerungen berücksichtigt werden sollte, ist dies, dass der Dienstleister nicht ordnungsgemäß mit vertraulichen Daten umgeht. Ein Beispiel: Viele Unternehmen lagern ihren Archivierungsprozess aus. Dokumente werden von Drittanbietern elektronisch archiviert und anschließend vernichtet. Eine Gewährleistung, dass die Vernichtung der physischen und elektronischen Daten erfolgt, ist nicht zwangsläufig gegeben; sie können zum Beispiel noch auf den Servern des Anbieters liegen. Das Bundesdatenschutzgesetz beschreibt technische und organisatorische Maßnahmen, welche in Zusammenhang mit elektronischer Archivierung vorliegen müssen. Es empfiehlt sich einige Kontrollen vertraglich mit dem Dienstleister festzulegen.
Outsourcing vom Dienstleister
Viele Dienstleister lagern selbst Prozesse aus. Deshalb muss auch bei den Subanbietern überwacht werden, ob diese Risiken und Kontrollen ordnungsgemäß managen. Auch hier sind Prüfungen nach SSAE 16/PS 951 oder ISAE 3402 hilfreich, da dieser Aspekt bei solchen Prüfungen regelmäßig betrachtet wird.
Notfallplanung bei Dienstleister
Als Unternehmen ist man vor allem auf eine pünktliche Lieferung des Produktes angewiesen. In manchen Fällen sogar vertraut man dem Dienstleister Dokumente oder Informationen an, die nicht im eigenen Haus redundant vorliegen. Notfälle beim Dienstleister können für den eigenen Betrieb weitreichende Schäden verursachen. Daher sollte geprüft werden, ob beim Dienstleister ein ausreichendes Notfallkonzept vorliegt, um zu gewährleisten, dass dieser auch bei Notfällen in der Lage ist, seine Verpflichtungen einzuhalten.
Compliance beim Dienstleister
Mit der Auslagerung von Prozessen verlagert ein Unternehmen auch Compliance-Risiken an den Dienstleister, die bei Verstoß das eigene Unternehmen in der Regel in Schwierigkeiten bringen können. Nicht zuletzt kann die eigene Reputation darunter leiden. Daher empfiehlt es sich das Thema Compliance beim Dienstleister zu berücksichtigen und wesentliche Aspekte, die sich aus der individuellen Risikosituation ergeben, vertraglich zu fixieren.
Die beschriebenen Punkte sind einige Beispiele die im Rahmen von Auslagerungen berücksichtigt werden sollten. Der Kreis schließt sich erst, wenn der Zustand der Risiken und Kontrollen beim Dienstleister sich im eigenen Governance-System, vor allem im Risikomanagement, wiederfinden und transparent gemacht werden. Der entscheidende Schritt im internen Prozess ist schließlich die regelmäßige Überwachung der Risiken und Kontrollen. Für nähere Information zur Ausgestaltung der eigenen Prozesse wenden Sie sich bitte an den Autor des Artikels (Ioannis.Karamitros@compliance-net.com).