Q_PERIOR Audit & Risk Newsletter. Ausgabe 06/2011. Q_PERIOR Audit & Risk Newsletter 2011 Ausgabe 6/6

Transkript

1 AKTUELLES Q_PERIOR Audit & Risk Newsletter Ausgabe 06/2011 1

2 AKTUELLES Liebe Audit & Risk Newsletter Leserinnen und Leser, das Jahr 2011 neigt sich dem Ende zu. Unser Team möchte diese Gelegenheit nutzen, um sich für Ihre positive Resonanz und Ihre Treue zu unserem Newsletter im vergangenen Jahr ganz herzlich zu bedanken. Es freut uns sehr, dass unser Newsletter derart gut von Ihnen angenommen wird. Auch im kommenden Jahr möchten wir Sie weiterhin über Neuigkeiten rund um das Thema Revision und Risikomanagement informieren und Sie damit, so hoffen wir, in Ihren Tätigkeiten unterstützen. Wir wünschen Ihnen und Ihrer Familie ein gesegnetes Weihnachtsfest, erholsame Feiertage und für das kommende Jahr Glück, Gesundheit und Erfolg. Christof Merz (Partner) Agenda Schwerpunktthema... 3 Prüfung Interner Modelle in Versicherungsunternehmen - Herausforderungen Chancen und Grenzen der Internen Revision... 3 Aktuelles... 9 Solvency II ORSA... 9 Aufgaben des Datenschutzbeauftragten Neuverhandlung von Wide Area Network (WAN) Services Sicherstellung von Compliance Literatur Seminartermine Excel Impressum

3 SCHWERPUNKTHEMA Schwerpunktthema Prüfung Interner Modelle in Versicherungsunternehmen - Herausforderungen Chancen und Grenzen der Internen Revision Durch Interne Modelle wird im Allgemeinen das ökonomisch notwendige Kapital der Versicherungsunternehmen errechnet. Sofern das Interne Modell zur Ermittlung des Solvenzkapitals unter Solvency II (SCR) herangezogen wird, muss das Modell von der BaFin überprüft und zertifiziert werden. Die Zertifizierung erfolgt jedoch nur, wenn das Interne Modell dem Risikoprofil des Versicherungsunternehmens besser Rechnung trägt als das Standardmodell. Zudem müssen statistische Standards, Kalibrierungs-, Validierungs- sowie Dokumentationsstandards innerhalb des Internen Modells vollständig eingehalten werden. Interne Modelle können durch die Unternehmen dabei entweder in Form von Volloder Teilmodellen genutzt werden. Bedeutung von Internen Modellen in der Versicherungswirtschaft Neben der Bestimmung des ökonomisch notwendigen Kapitals ist der Einsatz von Internen Modellen in zahlreichen weiteren Anwendungsgebieten sinnvoll und branchenüblich. In der Lebensversicherung sind im Wesentlichen die Bereiche Tarifierung, Profittesting, Reserveermittlung, die Bestimmung des langfristigen Liquiditätsrisikos und das Asset-Liability-Management (ALM) betroffen. Bei Schaden- und Unfallversicherungen liegen die Anwendungsgebiete stärker in der Untersuchung von Naturkatastrophen 200-Jahresereignisse, dem kurzfristigen Liquiditätsrisiko sowie der Rückversicherungsstruktur. Die Rückversicherungsstruktur wird mit Internen Modellen insbesondere dann an Bedeutung gewinnen, wenn das tatsächliche Risikoprofil des Unternehmens erfasst wird. Ein Wechselspiel in Form des Risikoschutzes zwischen Eigenmittelkosten und Kosten von Rückversicherungsschutz ist hierbei zu erwarten. 1 In der Krankenversicherung wirkt sich der Einsatz von Internen Modellen ebenfalls auf die Bereiche Asset- Liability-Management und Tarifierung aus. Einsatz und Bedeutung von Internen Modelle unter Solvency II Säule 1 Maßgeschneiderte Interne Risikomodelle bilden das Geschäft des einzelnen Versicherungsunternehmens in der Regel wesentlich exakter ab als das Standardmodell und können daher zu einer niedrigeren Solvenzkapitalanforderung (Säule 1) unter Solvency II führen, die dem Risikoexposure des Versicherers besser entspricht. 2 Der Einsatz eines Internen Modells kann somit einen wesentlichen Beitrag zur Reduzierung des Solvenzkapitals leisten. Säule 2 Oft unterschätzt, aber deutlich weitreichender, sind die Vorteile eines Internen Modells im Rahmen der Säule 2. Die verbesserte Risikomessung ist ein ganz wesentlicher Beitrag zur erfolgreichen Steuerung eines Unternehmens. Risiken werden nach ihrem Erfolgsbeitrag und ihrem Kapitalverbrauch bewertet. Zukünftige strategische Entscheidungen können im Modell simuliert und ihre Auswirkungen auf das Risikoprofil untersucht werden. Ein Internes Modell unterstützt somit wesentlich die Anforderung an ein ganzheitliches Risikomanagement. 1 Gründl, H. & Perlet H. (2005), Solvency II & Risikomanagement: Umbruch in der Versicherungswirtschaft. Gießen: Gabler Verlag. 2 Zöbisch, M. (2009), Solvency II: Risikoadäquanz von Standardmodellen. Karlsruhe: Verlag Versicherungswirtschaft GmbH. 3

4 SCHWERPUNKTHEMA Säule 3 Im Rahmen der Berichterstattung in Säule 3 können Interne Modelle einen Wettbewerbsvorteil für Versicherungsunternehmen bedeuten. Die genauere Risikomessung kann ein höheres Vertrauen bei Konsumenten oder Rating-Agenturen bewirken, da die Menge des vorzuhaltenden Eigenkapitals exakter bestimmt werden kann. Des Weiteren lassen sich auch Auswirkungen von möglichen Managemententscheidungen auf die Unternehmensentwicklung testen, beispielsweise in Form von Investitions- und Rückversicherungsstrategien. 3 Mehrwert der Internen Revision durch die richtige Auswahl von Prüfgebieten und -schwerpunkten Die Artikel 41 ff. der Solvency-II-Rahmenrichtlinie 2009/136/EG sowie 64a Abs. 1 des VAG stellen hohe inhaltliche und organisatorische Anforderungen an das Risikomanagement, die Compliance Funktion und die Interne Revision. Nach dem Grundsatz der Funktionstrennung sind diese drei Stabsfunktionen voneinander zu trennen (sofern der Vorstand die Funktionen nicht selbst wahrnimmt), um einen Interessenskonflikt bei der Prüfung zu vermeiden. 4 Die Interne Revision darf keine Bereiche prüfen, in denen der Prüfer in der näheren Vergangenheit selbst operativ tätig war (Art. 47 Abs. 2). Gleichzeitig müssen nach Art 42 Abs. 1 der Rahmenrichtlinie Schlüsselfunktionen des Versicherungsunternehmens wie die Interne Revision auch den Fit & Proper Kriterien entsprechen, d. h. weitreichende Kenntnisse vorweisen können. Die Prüfung von Internen Modellen führt daher oft zum Dilemma, dass keine ausreichenden (mathematischen) Kenntnisse vorhanden sind, hauseigene Aktuare aber aufgrund des Eigenprüfverbots als Unterstützung oft ausscheiden. Neben den hohen qualitativen Anforderungen an die Prüfer stellt die richtige Auswahl der Prüfgebiete bzw. -schwerpunkte zu Solvency II eine große Herausforderung für die Interne Revision dar. Vor allem den Zeitpunkt der Prüfung sowie den Umfang gilt es festzulegen. Hierbei spielen folgende Überlegungen eine wichtige Rolle: Projektbegleitende Prüfung oder nach Umsetzung? Rein prozessuale Prüfung oder zusätzlich analytische bzw. mathematische Prüfung? Durchsicht oder Draufsicht? Die projektbegleitende Prüfung fördert den kontinuierlichen Wissensaufbau der Internen Revision und sorgt für eine Bewusstseinsschärfung bei den Projektmitgliedern in Bezug auf Nachvollziehbarkeit und Dokumentation. Außerdem sind eine genauere Einhaltung von Kontrollpunkten bzw. -schritten sowie eine verbesserte Datenintegrität zu erwarten. Eine Prüfung nach Umsetzung hat hingegen den Vorteil, dass die Gesetzeslage zu diesem Zeitpunkt klar ausformuliert ist und die Level 3 Bestimmungen in Kraft sind. Allerdings kann nicht davon ausgegangen werden, dass bei einer Prüfung nach Umsetzung die Revision ohne weiteres als Experte wahrgenommen wird. Die prozessuale Sicht bleibt nach wie vor eines der Kernthemen für die Prüfung. Die Prozessprüfungen sollten u. a. die folgenden Punkte umfassen: Anpassung und Testing des Modells Prozess zur Datenaufbereitung und -bereitstellung Berichtsprozess/Ergebnisse des Modells 3 Höffgen, A. (2006), Regulierung von Erstversicherungsunternehmen unter besonderer Berücksichtigung von Solvency II. München: GRIN Verlag. 4 Dr. Schaaf, M. (2010), Risikomanagement und Compliance in Versicherungsunternehmen aufsichtsrechtliche Anforderungen und Organverantwortung. Karlsruhe: Verlag Versicherungswirtschaft GmbH. 4

5 SCHWERPUNKTHEMA Eskalationsprozess bei Überschreitung von Limit und/oder Schwellenwerten ORSA Prozess Bei der analytischen bzw. mathematischen Prüfung kann die Interne Revision ohne Grundverständnis für das verwendete Modell sowie für die statistischen Methoden das Risikomanagement nicht mehr sinnvoll prüfen. Allerdings stellen die Verifizierung der Annahmen, der Nachvollzug einzelner Berechnungen und Plausibilitätschecks des Modells einen echten Mehrwert für den Vorstand dar. Entscheidend ist dabei, dass aus heutiger Sicht nur mit Hilfe der nötigen Skills und Erfahrungen die Verbindung von Risikostrategie, Modell, Risikokapital sowie Limit- und Schwellenwertsystem tatsächlich sinnvoll überprüfbar ist. Zum grundsätzlichen Verständnis des Models und der Risikostrategie bzw. der Risikotragfähigkeit ist eine Sicht von oben sinnvoll, wie in Abbildung 1 dargestellt. Damit können Fragen der Vollständigkeit und des Aufbaus leichter beantwortet werden. Auch mögliche Wechselwirkungen werden ersichtlich. Risikostrategie und Risikotragfähigkeit Versicherungstechnisches Risiko Marktänderungsrisiko Kreditrisiko Abbildung 1: Aufbau des Internen Modells Die vertikale Durchsicht der berechneten Risiken schafft jedoch erst den Einblick in die Wirkungs- und Funktionsweise des Modells. Abbildung 2 zeigt die vertikale Durchsicht durch die Interne Revision am Beispiel des Marktänderungsrisikos. Das Marktänderungsrisiko beinhaltet alle Risiken, die sich aus Schwankungen von Preisen auf Kapitalmärkten ergeben. Unter Berücksichtigung des ALM-Aspektes wird zwischen dem Zinsänderungsrisiko und den weiteren Kursänderungsrisiken unterschieden. Die weiteren Kursänderungsrisiken unterteilen sich in den Berechnungen nochmals in Aktien, Immobilien und Währungen. 5 Beim Zinsänderungsrisiko wird zwischen Aktiv- und Passivrisiko unterschieden. Im vorliegenden Beispiel wird das Zinsänderungsrisiko auf der Aktivseite näher erörtert. Es besteht ein Zinsänderungsrisiko, wenn die Sensitivitäten (modifizierte Durationen), die Zinsveränderung auf Aktiv- und Passivseite oder die Marktwerte von Aktiv- und Passivseite verschieden sind. Die Marktwertänderung bei den Fixed Income Titeln durch eine Zinsveränderung kann anhand nachfolgender Formel quantifiziert und dargestellt werden: 5 Gesamtverband der Deutschen Versicherungswirtschaft (GDV) e.v. (2005), Diskussionsbeitrag für einen Solvency II kompatiblen Standardsatz (Säule I). Berlin: GDV. 5

6 SCHWERPUNKTHEMA Aktien Volumen Zinsträger Modified Duration Aktivrisiko Sensitivität Marktpreisrisiko Zinsrisiko Zinsschock Present Value of a Basis Point Passivrisiko mit Abbildung 2: Vertikale Durchsicht Marktpreisrisiko (Auszug) = Marktwert der Fixed Income Titel vor Zinsschock = Modifizierte Duration des Fixed Income Bestands = Marktzinsveränderung auf Aktivseite Erst durch das Verständnis über die Wirkungsweise des Modells und die vertikale Durchsicht sind Aussagen zur Funktionsfähigkeit und Korrektheit von Internen Modellen möglich. Die Interne Revision sollte daher u. a. folgende Fragen beantworten können: Sind die Annahmen plausibel? Sind die verwendeten Methoden im Modell anerkannt? Sind die Berechnungen nachvollziehbar und richtig? Ist ein Backtesting vorhanden? Herausforderung bei der Prüfung von Modellen und Modellannahmen Prüfung des Datenhaushaltes Die Vollständigkeit der Daten sowie die Datenintegrität sind Kernelemente für ein korrektes Internes Modell. Außerdem muss eine zeitgerechte Aktualisierung der Daten sichergestellt sein, um aktuelle Berechnungen (on demand) vornehmen zu können. Um diese und andere Anforderungen an ein Internes Modell zu erfüllen, ist ein klares IT-Architekturkonzept notwendig. Zu den Bestandteilen eines Architekturkonzepts zählen u. a. Quellsysteme, Datensammler, Rechenkerne, Ergebnissammler sowie Berichtsgeneratoren. 6

7 SCHWERPUNKTHEMA Berichte Berichtsgenerator Ergebnis-Sammler Branchenprodukt 1 Branchenprodukt 2 Daten-Sammler System 6/DWH System 1 System 2 System 3 System 4 System 5 Abbildung 3: Beispiel Architekturkonzept (vereinfacht) Die Themen und Herausforderungen bei Prüfungen im Bereich Datenhaushalt im Überblick: Integrität und Vollständigkeit des Datenhaushalts Stimmiges Architekturkonzept und Konsistenz mit der IT-Strategie Vorhandensein und Vollständigkeit einer Data Policy Prozess zur Einbeziehung externer Daten zwischen Daten aus individueller Datenverarbeitung Vorhandensein einer ausreichenden Datenhistorie Jährliche Aktualisierung von Parametern Einbindung externer Daten Limit- und Schwellenwertsystem sowie Indikatoren In Verbindung mit einem Limit- und Schwellenwertsystem sind Indikatoren und Risikotreiber die Kernstücke eines jeden Risikomodells. Sie machen die Risikostrategie und somit das Modell operationalisierbar, ermöglichen eine nachvollziehbare Steuerung der Risiken und tragen zur Zieldefinition und letztendlich zur Zielerreichung bei. Abbildung 4 illustriert beispielhaft den Aufbau eines Limit- und Schwellenwertsystems. Risikokapital 2000 Risiko Freies Risikokapital 285,0 Limit- und Schwellenwertsystem Ist Schwellenwert Limit Zinsänderungsrisiko 85,75% 90,00% 100,00% Differenz Passische ZT Aktiv ZT 1000, , ,00 Differenz MD Passiv MD Aktiv 6,80% 7,20% 8,00% Zinsrückgang -1,40% -1,58% -1,63% Abbildung 4: Beispiel Limit- und Schwellenwertsystem 7

8 SCHWERPUNKTHEMA Mögliche weitergehende Prüfungshandlungen müssen sich dabei an den Prüfungsschwerpunkten und der Ausgestaltung des Internen Modells orientieren. Nachfolgend aufgeführt einige beispielhafte Fragestellungen bei der Überprüfung des Limit- und Schwellenwertsystems: Berechnungen nachvollziehbar und richtig? Frühwarnfunktion der Indikatorensysteme? Plausibilität der Modellannahmen und -parameter für Teilmodule? Kalibrierung von Parametern basierend auf verlässlichen und ausreichenden Daten? Ausreichendes und nachvollziehbares Testing? Risikosensitivität des Limit- und Schwellenwertsystems (basierend auf Internem Modell)? Realistische Verteilungsannahmen? Angemessene Diversifikationsannahmen? Veränderung der Korrelationen in Stresssituationen berücksichtigt (in Krisen tendieren alle Korrelationen gegen 1)? Ausreichende und nachvollziehbare Integration der Modellergebnisse in Managemententscheidungen hinsichtlich strategischer Planung zu Sparten- und Produktmix, strategische Kapitalplanung, Aufnahme neuer Geschäftsfelder, Rückversicherungsstruktur und strategische Asset Allokation? Sind die definierten Indikatoren und Treiber geeignet für die operative Steuerung des Unternehmens? Abgrenzung zu den Kontrollmaßnahmen von Risikomanagement und Aktuariat Das Aktuariat und das Risikomanagement bleiben nach wie vor verantwortlich für die Etablierung eines Internen Kontrollsystems, wo die richtigen Kontrollpunkte gesetzt, Ergebnisse überprüft und die Kontrollen dokumentiert werden müssen. Die Interne Revision schafft Mehrwert durch unabhängige Prüfungshandlungen. Dies betrifft die Beurteilung des Internen Kontrollsystems im Internen Modell und der Funktionsfähigkeit des ORSA Prozesses (siehe hierzu auch ORSA Beitrag in dieser Ausgabe) genauso wie die Plausibilisierung bzw. der Nachvollzug von Berechnungen und Modellen in risiko- und steuerungsrelevanten Bereichen. Ansprechpartner: Christof Merz (Partner, Audit & Risk) 8

9 AKTUELLES Aktuelles Solvency II ORSA Level 3 Bestimmungen Die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) arbeitet zurzeit an den aufsichtsrechtlichen Standards der zukünftigen Solvency II Regelungen. Nachdem wir im letzten Audit & Risk Newsletter in der Ausgabe 5 bereits ausführlich über das Thema System of Governance im Rahmen der Säule II berichtet haben, steht in diesem Artikel der Prozess Own Risk and Solvency Assessment (ORSA) im Fokus. Im Rahmen des laufenden vierstufigen Lamfalussy Verfahrens hat die EIOPA für die Säule II bereits innerhalb des Levels 1 ein so genanntes Issue Paper für das Thema ORSA veröffentlicht, dessen Inhalte und Notwendigkeit maßgeblich für den in 2009 veröffentlichten Rahmenrichtlinien Entwurf und der darin abgebildeten Inhalte der Säule II waren. Im Rahmen des Level 2 Final Advice wurde der ORSA Prozess jedoch zur Verwunderung vieler Experten nicht erneut aufgegriffen, sodass Versicherungen bei der Ausgestaltung dieses Prozesses weiterhin auf konkretere Ausgestaltungshinweise warten mussten. Allgemein ist der zukünftige ORSA Prozess unter Solvency II innerhalb der Säule 2 angesiedelt. Wesentliche Anforderungen im Rahmen dieses Prozesses beziehen sich auf die Ausgestaltungsprinzipien der Versicherungsunternehmen im Rahmen ihres Risikomanagement- und Internen Kontrollsystems. Zudem soll unter dem Grundsatz der Harmonisierung der aufsichtsrechtlichen Standards innerhalb der EU auch ein prozyklisches Einschreiten der Aufsicht in Krisenzeiten durch den ORSA Prozess vermieden werden. Hierzu wird der qualitative Review ein inhärenter Bestandteil der Unternehmensprozesse jedes Versicherungsunternehmens sein und somit gleichzeitig auch die Aufsicht befähigen, eine effizientere, transparentere und nachvollziehbare Bewertung und Darstellung des übergreifenden Risikomanagements der Unternehmen vornehmen zu können. Abbildung 1: Eingliederung des ORSA Prozesses 9

10 AKTUELLES Der ORSA Prozess ist daher nicht nur als der zukünftige Haupttreiber eines angemessenen Risikomanagements zu sehen, sondern auch als Sicherstellung des exakten Verständnisses des Managements über das vorhandene Risikoprofil des Unternehmens. Der ORSA Prozess verbindet somit die strategische Unternehmensführung mit dem Risikomanagement und den damit verbundenen strategischen Entscheidungsprozessen. Des Weiteren wird mittels ORSA sichergestellt, dass die Ursachen für die Unterschiede in der Berechnung des ökonomischen und aufsichtsrechtlichen Solvenzkapitals aufgezeigt werden und konsequenterweise somit auch, in wie weit das tatsächliche Risikoprofil des Unternehmens von den Berechnungsgrundlagen abweicht. Anfang des Jahres 2011 startete die EIOPA nun die Diskussion um die potenziellen detaillierten Level 3 Ausführungsbestimmungen mit ausgewählten Versicherungen mit dem Fokus der Entwicklung gemeinsamer und konvergierender Standards und Leitlinien innerhalb Europas. Hierbei wird der ORSA Prozess in einem gesonderten Papier gewürdigt, was die hohe Priorität und zukünftige Bedeutung innerhalb der Versicherungsunternehmen bereits jetzt unterstreicht. Für die detaillierte Ausgestaltung des ORSA Prozesses hat die EIOPA 29 vorläufige Guidelines für die alltägliche Einzel- und Gruppenaufsicht formuliert. Im Folgenden werden die wesentlichen Guidelines auf Einzelunternehmensebene erläutert. Bei der Entwicklung und Aufstellung des ORSA Prozesses steht auch das Proportionalitätsprinzip wieder im Vordergrund. Der ORSA Prozess muss dabei in bestmöglichen Einklang mit der organisatorischen Unternehmensstruktur und dem vorhandenen und zukünftigen Risikomanagementsystem gebracht werden. Die Gesamtverantwortung für das Thema obliegt dem Management (Management Body), welches einerseits die Freiheit hat, den Prozess nach den eigenen Vorstellungen und denen des Unternehmens angemessen zu gestalten, im Gegenzug aber auch die Ergebnisse kontinuierlich in Frage stellen muss. Eine ORSA Policy muss die an den Prozess geknüpften Informations- und Ergebnis-Dokumentationen für die Aufsicht transparent machen und Eindeutigkeit gewährleisten. Diese Policy ist somit insbesondere eine Beschreibung des Prozesses und der eingesetzten Methoden sowie der Verbindung des unternehmerischen Risikoprofils, der Risikolimite als auch des übergreifenden Solvenzbedarfs. Des Weiteren sind auch der Turnus und die Beurteilungskriterien des ORSA Prozesses eindeutig festzuhalten. Der ORSA Prozess muss mindestens jährlich durchgeführt werden, kann aber von der Aufsicht auch in kürzeren Abständen verlangt werden, sofern es das Risikoprofil des Unternehmens erfordert. Sofern das Versicherungsunternehmen bei der Berechnung des Solvenzkapitals ein Internes Modell verwendet, muss es zudem die vom Standardmodell abweichenden Differenzen sowohl qualitativ als auch quantitativ bewerten und außerdem erläutern, warum diese dem tatsächlichen Risikoprofil des Unternehmens näher kommen. Abweichungen vom Internen zum Standardmodell müssen dabei regelmäßigen Tests unterliegen, welche ggf. erforderliche Modellanpassungen aufzeigen (Compliance). Das Unternehmen muss weiter sicherstellen, dass es den übergreifenden Solvenzbedarf nicht nur quantitativ mittels eines Risikomodells, sondern auch auf einer qualitativen Basis vollständig ermittelt. Des Weiteren muss eine Berechnung auch vor dem Hintergrund einer zukunftsorientieren Sichtweise stattfinden, welche die Unternehmensplanungen, den Kapitalbedarf als auch die zukünftigen strategischen Maßnahmen der nächsten Jahre berücksichtigt. Hierbei ist auch sicherzustellen, dass das Unternehmen über Methoden und Verfahren verfügt, mit denen es verlässlich die Einhaltung der aufsichtsrechtlich geforderten Kapitalbedarfserfordernisse innerhalb des Unternehmens und des aufgezeigten Risikoprofils überwacht, zu denen auch die vom verantwortlichen Aktuar berechneten Schadensreserven zählen. Der ORSA Prozess ist dabei explizit in den strategischen Managementprozess sowie eng in alle strategischen Management-Entscheidungsprozesse einzubinden. Die enge Verzahnung des strategischen Entscheidungsprozesses mit dem Risikomanagement ist dabei vor allem über die im Rahmen des Limit- und Schwellenwertsystems identifizierten und bewerteten Risikotreiber bzw. Indikatoren möglich. Hierbei können in einem mehrstufigen Prozess zur risikoadäquaten Bewertung von zukünftigen strategischen Maßnahmen Risiken und Risikotreiber sowie deren Einfluss auf die Entscheidungen ermittelt und durch die jeweiligen Fachexperten bewertet werden. Anschließend 10

11 AKTUELLES können dann mittels dieser Einschätzungen konkrete Auswirkungen innerhalb des eingesetzten Risikomodells gemessen werden. Abbildung 2: Bridpirl Verknüpfung des strategischen Entscheidungsprozesses mit dem Risikomanagement Es steht somit bereits heute fest, dass der ORSA Prozess zum Dreh- und Angelpunkt jedes Risikomanagement-Systems wird, da es die Elemente aus allen drei Säulen von Solvency II verbindet. Unter den Anforderungen sind jedoch noch viele Unklarheiten enthalten und weitere Klarstellungen notwendig. Die wichtigsten Anforderungen lassen sich jedoch schon heute wie folgt zusammenfassen: 1. Periodische Sicherstellung der effizienten Bewertung des Solvenzbedarfs als Komponente des unternehmerischen Risikomanagements 2. Regelmäßige Überprüfung der Adäquanz des eingesetzten Risikomodells für die Risikokontrolle und -berechnung 3. Bewertung der Differenzen zwischen dem durch das Standardmodell errechneten Solvenzbedarf und dem tatsächlichen Risikoprofil 4. Sicherstellung einer permanenten Verbindung des Risikomanagements mit dem Internen Kontrollsystems (IKS) zur Schließung der Lücken zwischen den drei Säulen unter Solvency II 5. Gewährleistung einer ganzheitlichen Komponente zur festen Einbindung des Risikomanagements in die geschäftsstrategischen Entscheidungsprozesse Abgeleitet aus den genannten Anforderungen werden die beiden Hauptziele des ORSA Prozesses nun sehr deutlich: Sicherstellung der bestmöglichen Verknüpfung der Bewertung der Solvency II Anforderungen und der Geschäftsstrategie sowie Schaffung eines permanenten transparenten Aufsichtsinstruments innerhalb der EU. Letztendlich wird die Aufsichtsbehörde durch den ORSA Prozess einen tiefen und detaillierten Einblick in die einzelnen Versicherungsunternehmen bekommen, wodurch der ORSA Prozess für die Versicherungsunternehmen zur Visitenkarte gegenüber der Aufsicht wird! Versicherungsunternehmen werden aber auch in den derzeit diskutierten Level 3 Bestimmungen nicht auf wirklich konkretere Anforderungen an den ORSA Prozess hoffen dürfen. Ein Warten auf weitere spezifischere Ausgestaltungshinweise können jedoch die vollständige Erfüllung der Solvency II Anforderungen ernsthaft gefährden. Versicherungsunternehmen sind daher spätestens jetzt gefordert, die Anforderungen an den ORSA Prozess in ihre Unternehmen bestmöglich zu integrieren. Ansprechpartner: Jan-Hendrik Uhlenberg (Manager, Business Unit Lead Solvency & Risk Management) 11

12 AKTUELLES Aufgaben des Datenschutzbeauftragten Anforderungen an den Datenschutzbeauftragten Die Medienwelt entwickelt sich so schnell wie selten zuvor und eröffnet damit viele Chancen wie auch Risiken. Kein Wunder also, dass der Datenschutz ein heiß diskutiertes Thema ist. Die Pflichten öffentlicher und nicht-öffentlicher Stellen bezügliches des Datenschutzes regelt das Bundesdatenschutzgesetz. Sobald personenbezogene Daten automatisiert verarbeitet werden, ist ein Datenschutzbeauftragter schriftlich zu bestellen. Aber wer ist ein geeigneter Datenschutzbeauftragter und vor allem welche Aufgaben hat er zu erfüllen? Für die Sicherstellung der pflichtgemäßen Erfüllung der Aufgaben eines Datenschutzbeauftragten, hat dieser verschiedene persönliche und fachliche Voraussetzungen zu erfüllen. Der folgende, nicht abschließende, Überblick stellt die wesentlichen fachlichen und persönlichen Anforderungen dar: eine erfolgreiche Absolvierung einer (allgemeinen) beruflichen Ausbildung angemessene Fachkenntnisse in einer der Kategorien Recht, Informations-/Telekommunikationstechnologie oder betriebswirtschaftliche Organisation eine mindestens 2-jährige allgemeine Berufserfahrung eine erfolgreiche Qualifizierung zum Datenschutzbeauftragten. Zu den wesentlichen persönlichen Fähigkeiten und Fertigkeiten eines Datenschutzbeauftragten gehören: Managementfähigkeiten Koordinierungs- und Teamfähigkeiten Kommunikationsfähigkeiten Didaktische Fähigkeiten Prüfungs- und Auditmethodik. Aufgaben Der Datenschutzbeauftragte hat zahlreiche verantwortungsvolle Aufgaben zu erfüllen. Zu seinen wesentlichen Aufgaben gehören: Prüfung von Verfahren, Geschäftsprozessen, internen Regelungen, Verträgen und IT-Systemen, wobei sich Umfang und Tiefe der Prüfung am geltenden Datenschutzrecht und dem aktuellen Stand der Technik orientieren sollen. Geprüft wird der Datenschutz hinsichtlich Rechtskonformität (anhand von Gesetzen, Verordnungen, Gerichtsurteilen, Tarifverträgen, Betriebs- bzw. Dienstvereinbarungen und weiteren Verträgen), IT-Sicherheitsstandards (Regelungen des BSI IT-Grundschutzes, ISO 2700x, Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS)), Aktualität, Vollständigkeit und Richtigkeit, interne Regelungen sowie Unternehmenskultur. Mitwirkung an der Entwicklung datenschutzfreundlicher Unternehmensziele Zu den Aufgaben des Datenschutzbeauftragten gehören hier z. B. die Erarbeitung von Vorschlägen zur Vermeidung von Daten hinsichtlich Pseudo- und Anonymisierung, zur Transparenz der Verarbeitung, Information über Rechtsgrundlage, Wahrung der Betroffenenrechte sowie die Erstellung und Weiterentwicklung des Datenschutzkonzepts (Beschreibung einer Datenschutzorganisation und ein Datenschutzhandbuch als Teil des Managementhandbuchs). Mitwirkung bei der datenschutzgerechten Gestaltung von Betriebs- bzw. Behördenprozessen Hier tritt der Datenschutzbeauftragte als unabhängiger Sachverständiger auf, der zu Datenschutzfragen an Beratungen aller relevanten internen und einschlägigen externen Gremien teilnimmt. Darüber hinaus ist er für das Verfassen von Stellungnahmen verantwortlich, die eine Darstellung und Bewertung der 12

13 AKTUELLES datenschutzrechtlichen Zulässigkeit, Vollständigkeit und Wirksamkeit von Schutzmaßnahmen sowie ggf. Lösungsansätze beinhalten. Berichterstattung Zur Berichterstattung durch den Datenschutzbeauftragten gehören die regelmäßige oder anlassbezogenen, sachbezogene Information und Berichterstattung an Unternehmens- bzw. Behördenleitung und Mitarbeitervertretungen (anlassbezogen auch Aufsichtsbehörden, Betroffene und Dritte). Hier bestehen Kommunikationsschnittstellen insbesondere zur IT-Abteilung, IT-Revision, Personalabteilung, Qualitätsmanagement, Vertrieb, Marketing und branchenspezifischen operativen Bereichen. Durchführung von Schulungen Eine der wesentlichen Aufgaben des Datenschutzbeauftragten ist die zeitlich und inhaltlich eigenverantwortliche Durchführung von Schulungen. Diese werden nach sachlichem Ermessen durchgeführt. Der Datenschutzbeauftragte legt die Wissensinhalte und den Umfang fest. Er ist weiterhin verantwortlich für einen praxisnahen und zielgruppengerechten Aufbau der Schulungen, die didaktische Aufbereitung sowie die Vermittlung von Basis- und Vertiefungswissen. Beratung Es werden alle Bereiche sowie anlassbezogen auch Betroffene beraten. Die Beratung durch den Datenschutzbeauftragten umfasst alle Fragen sowie die technische und organisatorische Ausgestaltung von Maßnahmen zum Datenschutz und die Risikoabschätzung. Qualitätssicherung der Aufgabenerfüllung Die Qualität der Aufgabenerfüllung des Datenschutzbeauftragten wird vor allem durch Eigenkontrolle gewährleistet. Zur Sicherstellung sind die oben beschriebenen Aufgaben vom Datenschutzbeauftragten festzuhalten und abzuarbeiten, die eigene Arbeit revisionssicher zu dokumentieren und die Berichtspflichten wahrzunehmen. Wir verfügen über langjährige Erfahrung bei der Umsetzung des Datenschutzes in mittelständischen Unternehmen und stehen Ihnen gern als kompetenter Partner bei Ihren Fragen rund um das Datenschutzmanagement sowie als externer betrieblicher Datenschutzbeauftragter zur Seite. Ansprechpartner: Jörg Wöhler (Manager, Business Unit Lead IT Audit & Security) Referenz: Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.v.bvd e.v. (2010), Das berufliche Leitbild des Datenschutzbeauftragten. Berlin: BvD. [Online] 13

14 AKTUELLES Neuverhandlung von Wide Area Network (WAN) Services Sicherstellung von Compliance Die Verträge über die Erbringung von WAN Services haben üblicherweise eine Laufzeit von drei bis fünf Jahren. Nach der Vertragslaufzeit gibt es drei Möglichkeiten, die Serviceerbringung fortzuführen: Verlängerung der aktuell bestehenden Verträge, Neuverhandlung mit dem bzw. den aktuellen Service Providern oder eine Neu-Ausschreibung der WAN Services. Letzteres ist sicherlich die aufwändigste Option mit jedoch der größten erreichbaren Kostenreduktion bei oftmals neuen und verbesserten Services. Abhängig von der Ausgangssituation bietet sich dabei auch ggf. eine Änderung des Vergabemodells an, um z. B. neue Technologien zu berücksichtigen oder das Wettbewerbsmodell zu ändern. Kostenreduktion unter Beachtung der qualitativen Anforderungen kann aus unserer Erfahrung nur durch einen stringenten Verhandlungsprozess ohne Einflussnahme durch die Service Provider und durch Sicherstellung der zentralisierten Entscheidungsfähigkeit des Auftraggebers gewährleistet werden. Als weitere wichtige Voraussetzung für eine erfolgreiche Ausschreibung gilt, dass ein Wettbewerb der Anbieter vorhanden ist. Hohe Wettbewerbsintensität führt in der Regel zu den besten Preisen. Diese nimmt ab, wenn z. B. Service Provider über vertrauliche Informationen verfügen, wie beispielsweise die aktuellen Kosten für die ausgeschriebenen Leistungen oder Informationen über die am Ausschreibungsprozess teilnehmenden Service Provider. Absprachen unter Service Providern, die den Ausschreibungsprozess beeinflussen und dadurch gefährden, kann ein Unternehmen nie völlig ausschließen. Aber es kann Einfluss nehmen auf den Zeitpunkt und den Umfang der Informationen, die im schlimmsten Fall ausgetauscht werden. Zu diesem Zweck sollte es von Beginn der Ausschreibung an bestimmte Voraussetzungen schaffen. In unseren Projekten berücksichtigen wir dies gemeinsam mit dem Kunden u. a. durch die Unterzeichnung von Vertraulichkeitserklärungen sowohl der Service Provider als auch der beteiligten internen Mitarbeiter. Ziel ist, dass alle beteiligten Parteien keine Informationen mit Bezug zur Ausschreibung nach außen weitergeben. Um störende Einflüsse auf den Ausschreibungsprozess zu verhindern, ist es wichtig, dass das Top Management des Auftraggebers hundertprozentig hinter der Ausschreibung steht und dies intern und extern kommuniziert und, wenn erforderlich, den Ausschreibungsprozess entsprechend nachhaltig unterstützt. Auf diese Art kann verhindert werden, dass Service Provider versuchen, durch die Annäherung an das Top Management auf den Ausschreibungsprozess Einfluss zu nehmen, um sich dadurch einen Vorteil zu verschaffen. Zu Beginn einer Ausschreibung stimmen wir die Zeitplanung für den Ausschreibungsprozess mit dem Kunden ab und kommunizieren diese dann später auch an die Service Provider, da die Einhaltung der Termine essentiell für den Erfolg der Ausschreibung ist. Um die Kommunikation zu vereinfachen und stringent zu halten, empfehlen wir dem ausschreibenden Unternehmen einen Single Point of Contact zu bestimmen, über den die Kommunikation vom und zum Service Provider läuft. Für diese Rolle empfiehlt sich nach unseren Erfahrungen ein unabhängiger Dritter bzw. ein externer Berater. Nachfolgende Tabelle stellt eine beispielhafte Übersicht der Herausforderungen bei der Ausschreibung von WAN Services und unsere entsprechenden Lösungsansätze bzw. das Vorgehen dar. 14

15 AKTUELLES Herausforderung Transparenz der Ausgangssituation Definition relevanter Wettbewerbsmodelle Wettbewerbsintensiver und stringenter Verhandlungsprozess Sicherstellung der zentralisierten Entscheidungsfähigkeit des Auftraggebers Erzielung von signifikanten Kostenreduktionen Zielgerichtete Kommunikation Generierung eines umfassenden und transparenten Produktportfolios Lösungsansatz/Vorgehen Verabschiedung eines stringenten Beschaffungsund Verhandlungsprozesses mit internen Committments Etablierung strenger Kommunikationsregeln Definition und Bewertung der Anforderungen Durchführung eines RFI und RFQ Prozesses Entwicklung von Szenarien zur Abbildung von Service Provider-Konstellationen Erstellung Business Case basierend auf Angeboten und operativen Szenarien Durchführung von Risikobewertungen Ansprechpartner: Sven Petermann (Associate Partner, Strategisches IT Management) 15

16 LITERATUR Literatur Das Datenschutz-Kompendium Andreas Würtz ISBN-10: X (Mehr...) Datenschutz kompakt und verständlich Bernhard C. Witt ISBN-10: (Mehr...) Ethernet. Technologien und Protokolle für die Computervernetzung Jörg Rech von Heise ISBN-10: (Mehr...) Computernetzwerke: Von den Grundlagen zur Funktion und Anwendung Rüdiger Schreiner ISBN-10: (Mehr...) Risikomanagement und Risiko- Controlling: Moderne Instrumente, Grundlagen und Lösungen Andreas Klein ISBN-10: (Mehr ) Interne Modelle nach Solvency II: Schritt für Schritt zum internen Modell in der Schadenversicherung Maria Heep-Altiner, Hüseyin Kaya, Bastian Krenzlin, Dominik Welter ISBN-10: (Mehr...) Risikomanagement in Versicherungsunternehmen: Behandlung operationeller Risiken unter Solvency II Regine Urban ISBN-10: (Mehr...) Solvency 2 Diskussion des GDV-Standardansatzes aus risikotheoretischer Sicht Fabian Hör ISBN-10: (Mehr...) 16

17 SEMINARTERMINE Seminartermine Im Folgenden möchten wir Ihnen ausgewählte Seminare bei Q_PERIOR vorstellen Januar 2012 bis Februar 2012 Einführung in die Interne Revision DIIR (Mehr...) Interne Kontrollsysteme prüfen und gestalten (IKS I) DIIR (Mehr...) Rechte und Pflichten des AR nach 7a Abs. 4 VAG DVA (Mehr...) Ansprechpartner: Dr. Peter Wesel (Managing Consultant, Business Unit Internal Audit Banking & Insurance) 17

18 MICROSOFT EXCEL Excel Die Funktion WIEDERHOLEN() Auch wenn Microsoft Excel ein weit verbreitetes Standardprodukt in vielen Unternehmen ist, bleiben jede Menge Funktionen im Alltag verborgen. Wir möchten an dieser Stelle Hilfestellung bieten und Ihnen regelmäßig über ausgewählte Funktionen/Formeln berichten. Anwendung der Funktion WIEDERHOLEN() auf Zellen in Excel Die Funktion WIEDERHOLEN() wiederholt ein Zeichen oder eine Zeichenfolge so oft wie in der Formel angegeben. Damit können beliebige Zeichen (Text) in einer bestimmten Häufigkeit (je nach Multiplikator) in der Zielzelle wiedergegeben werden. Der Syntax der Funktion im Überblick: =WIEDERHOLEN( Text ; Multiplikator) Text: Text in Anführungszeichen oder Zellbezug, der wiederholt werden soll. Multiplikator: Eine positive Zahl oder Zellbezug, um festzulegen, wie oft der Text wiederholt werden soll. Beispiel 1: Visualisierung eines Prüfungszeitplans Im Rahmen der Revisionstätigkeit sollen die Phasen einer Prüfung zeitlich geplant und dargestellt werden. Abbildung 1 zeigt den Prüfungszeitplan mit den festgelegten Prüfungsphasen. Abbildung 1: Prüfungszeitplan Der Prüfungszeitplan stellt Start- und Enddatum der einzelnen Phasen dar. Die Dauer der einzelnen Phasen soll nun visualisiert werden. Dies wäre mit dem in Excel integrierten Diagramm-Assistenten umsetzbar. Eine weniger aufwändige Alternative bietet die Wiederholen-Funktion. Mit dieser Funktion können die einzelnen Phasen schnell und einfach visualisiert werden. Schritt 1: Berechnung der Prüfungsphasen in Wochen Formel für die Dauer in Wochen für die Phase Prüfungsplanung in E4 6 : =DATEDIF(C4;D4;"D")/7 Die Formel kann für die anderen Phasen entsprechend nach unten kopiert werden. Schritt 2: Die berechneten Wochen mit Sonderzeichen als Balken darstellen Formel für die Darstellung der Wochen für die Phase Prüfungsplanung in F4: =WIEDERHOLEN("n";E4) Auch hier kann die Formel entsprechend nach unten kopiert werden. 6 Die Funktion DATEDIF() berechnet hier die Dauer in Tagen, wobei C4 für das Startdatum und D4 für das Enddatum steht. Das Kürzel D für Day steht für die Berechnung der Tage. Durch die Division durch 7 am Ende der Formel werden aus den Tagen die Wochen ermittelt. 18

19 MICROSOFT EXCEL Weisen Sie nun der Spalte F die Schriftart WingDings zu. WingDings ist eine Schriftart bestehend aus Symbolen. Jedem Symbol ist ein Buchstabe zugeordnet. Der Buchstabe n steht für ein Kästchen, das nun als Baustein für unsere Balken dient. Der Bezug E4 in der Formel gibt die Anzahl der Wochen und damit die Anzahl der Kästchen wieder. Abbildung 2 zeigt den Prüfungszeitplan mit der Visualisierung der Wochen. Abbildung 2: Prüfungszeitplan mit Visualisierung der Wochen Beispiel 2: Visualisierung des verbrauchten Risikokapitals zur Risikoüberwachung Im Rahmen der Risikoüberwachung wird ein Limit- und Schwellwertsystem für drei Risiken implementiert. Das jeweils bereits verbrauchte vorzuhaltende Risikokapital soll grafisch dargestellt werden. Abbildung 3 zeigt das verbrauchte Risikokapital (Ist) sowie die Schwellen- und Limit-Werte, jeweils in EURO und Prozent. Abbildung 3: Limit und Schwellenwertsystem Formel in F6: =WIEDERHOLEN(" ";C6*10) Die Formeln für F9 und F12 können entsprechend kopiert werden. ist das Zeichen, das wiederholt wird. C6 ist der Multiplikator und bezieht sich auf den Ist-Prozentwert, welcher aufgrund der Prozentformatierung mit 10 multipliziert werden muss. Für die Darstellung in grün, gelb oder rot wurde die bedingte Formatierung verwendet. Grün für Werte bis zum Schwellenwert, Orange für Werte zwischen Schwellen- und Limit-Wert und Rot für Werte, die das Limit übersteigen. Ansprechpartner: Andreas Mayer (Consultant, Business Unit Solvency & Risk Management) 19

20 WHO IS WHO Moritz Mannesmann In jeder Ausgabe werden wir Ihnen Mitglieder unseres Teams bzw. Kollegen, die der Revision oder dem Risikomanagement nahestehen, vorstellen. Diesmal Moritz Mannesmann, Consultant, Business Unit Advisory. Moritz Mannesmann Consultant Welches war Ihr schönstes Musikerlebnis? Livekonzert von REM auf der Kölner Dom Platte. Welche Freizeitaktivitäten üben Sie aus? Surfen, Snowboarden, MTB, Schwimmen, Laufen Was hat Sie am meisten beeindruckt? Politisch: Das deutsche Nein zum 2ten Irak Krieg Persönlich: Ein großer Hai, der mir beim Surfen begegnet ist :) Was können Sie besonders gut kochen? Asiatische Gerichte, und ich versuche mich auch gern an indischer Küche Was beherrschen Sie im Haushalt besonders gut? Aufräumen kann es nicht sein Was haben Sie als schönstes Kauferlebnis empfunden? Das ist nicht leicht, da ich mich generell sehr über Dinge freuen kann, aber ich denke mein erstes Mountain Bike. Was gefällt Ihnen bei Q_PERIOR am besten? Das persönliche Miteinander im Unternehmen. Was treibt Sie an? Eine gutes Arbeitsklima und spannende Aufgaben. Welche Themen würden Sie gern beschleunigen? Schärfere Regulierungen der Finanzmärkte sowie komplette Neustrukturierung der Finanzsysteme. Was sind Ihre persönlichen Motivationen? Mich immer persönlich weiter zu entwickeln, sowie kontinuierlich neues dazuzulernen und neues Wissen aufzubauen. Wen bewundern Sie am meisten? Noem Chomsky Was tun Sie, um sich zu entspannen? Musikhören, Internetsurfen, Sport Wo hätten Sie gern Ihren Zweitwohnsitz? Sydney Nennen Sie ein unentdecktes Traumreiseziel: Tahiti, Fiji und die Südsee generell 20