MaRisk für Versicherungen in der Konsultationsphase

Die neuen MaRisk “Entwurf eines Rundschreibens Aufsichtsrechtliche Mindestanforderungen an das Risikomanagement (MaRisk VA)” wurde am 30.04.2008 von der BaFin für die öffentliche Konsultation veröffentlicht.

Stellungnahmen zum Entwurf können bis zum 30. Juni abgegeben werden. Am 20. Juni findet in Bonn eine Anhörung zu dem Entwurf statt.

Das Notfallmanagement ist in Punkt 9 des Entwurfs geregelt. Wenig überraschend ist die Formulierung eng an die Regelungen der MaRisk für Banken angelehnt. Trotzdem gibt es bemerkenswerte Unterschiede.

Im Punkt 9.1 sind die wesentlichen Elemente der geforderten Notfallplanung beschrieben:

“Unternehmen haben für Notfälle und Krisen Vorsorge (Notfallplanung) zu treffen, in denen die Kontinuität der wichtigsten Unternehmensprozesse und –systeme nicht mehr gewährleistet ist und die normalen Organisations-/Entscheidungsstrukturen nicht mehr ausreichen, um sie zu beherrschen. Ziel der Notfallplanung ist die Fortführung der Geschäftstätigkeit mit Hilfe von definierten Verfahren und der Schutz von Personen und Sachen sowie Vermögen im Sinne der Wertschöpfung.”

Neben der Differenzierung von Notfällen und Krisen ist die Definition des Umfangs der Notfallvorsorge bemerkenswert. Die MaRisk für Banken fordert ein Notfallkonzept für “Notfälle in zeitkritischen Aktivitäten und Prozessen”. Der aktuelle Entwurf der MaRisk VA hingegen spricht von den “wichtigsten Unternehmensprozesse und -systeme” sowie der Notwendigkeit einer Krisenmanagementorganisation, wenn “die normalen Organisations-/Entscheidungsstrukturen nicht mehr ausreichen, um sie zu beherschen.”

In dieser Formulierung kommt die prinzipien-orientierte Ausgestaltung der Aufsicht deutlich zum Ausdruck. Nicht einzelne Prozesse werden nunmehr durch die Aufsicht geregelt, sondern die Unternehmen haben in eigener Verantwortung innerbetriebliche Leitlinien festzulegen, welche Störungen der Organisation unter welchen Umständen für das Unternehmen als wesentlich anzusehen sind.

Die Festlegung relevanter Risikoszenarien, die Dokumentation der Leitlinien in einer BCM-Policy sowie die Durchführung einer Business Impact Analyse (in welcher Form auch immer) sind die logischen Anforderungen aus den MaRisk VA. Dies entspricht inhaltlich bereits den Anforderungen der MaRisk für Banken, doch ist dies nun konkreter formuliert. Die Reduktion des Umfangs auf “zeitkritische Prozesse” entfällt. “Wesentlichkeit” umfasst auch weitere Kriterien für Kritikalität wie Reputation.

Der Punkt 9.2 regelt entsprechend der MaRisk für Banken die Anforderungen an einen regelmäßigen Wartungsprozess:

“Die Notfallplanung ist regelmäßig hinsichtlich Wirksamkeit und Angemessenheit zu überprüfen.”

Punkt 9.3 regelt die Verantwortung der Geschäftsbereiche für Erstellung und Pflege der Notfallpläne:

“Die Notfallplanung muß den beteiligten Geschäftsbereichen zur Verfügung gestellt werden.”

Insgesamt ergeben sich aus den neuen MaRisk für Versicherungen hinsichtlich der Notfallvorsorge die gleichen Anforderungen wie für Banken aus deren einschlägigen MaRisk.

Best Practice Vorgehensmodelle auf Basis bewährter Standards wie BS 25999-1 und BSI sichern auch in der Versicherungsbranche analog der Bankenbranche die Kompatibilität mit den aufsichtlichen Vorgaben und geben die Grundlage für eine funktionsfähige Notfallvorsorge.

0 Responses

Schreibe einen Kommentar