Outsourcing. Begriffliche und rechtliche Einordnung



Ähnliche Dokumente
Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.

Erschwerte Bedingungen für Outsourcing durch Captives

Begriffliche und rechtliche Einordnung

GZ: BA 17-K /0001 Modernisierung der Outsourcing-Regelungen und Integration in die MaRisk

Strenge Regeln, mehr Qualität

Portalübersicht Starttermin von Solvency II (national: VAG-Novelle) - mit unseren neuen Portalen sind SIE bereit!

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione


Risikomanagement Gesetzlicher Rahmen SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement

Finanzierung für den Mittelstand. Leitbild. der Abbildung schankz

D i e n s t e D r i t t e r a u f We b s i t e s

Quantitatives Risikomanagement

The AuditFactory. Copyright by The AuditFactory

Die aufsichtsrechtliche Behandlung des Outsourcing nach deutschem VAG und Solvency II

Der Schutz von Patientendaten

Ablauf Vorstellungsgespräch

(beschlossen in der Sitzung des Fachsenats für Unternehmensrecht und Revision am 1. Dezember 2010 als Fachgutachten KFS/VU 2) Inhaltsverzeichnis

Erläuternder Bericht des Vorstands der Demag Cranes AG. zu den Angaben nach 289 Abs. 5 und 315 Abs. 2 Nr. 5 des Handelsgesetzbuches (HGB)

Aufbau eines Compliance Management Systems in der Praxis. Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt,

DGSV-Kongress Fulda, Uwe Blättermann coavia GmbH & Co. KG

6.4.5 Compliance-Management-System (CMS)

Jugendschutzgesetz (JuSchG) Die Besonderheit der "erziehungsbeauftragten" Person am Beispiel Diskotheken- und Gaststättenbesuch

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

Bestandskauf und Datenschutz?

Datum Ausgabe 05/2009

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante

Engagement der Industrie im Bereich Cyber Defense. Blumenthal Bruno Team Leader Information Security RUAG Defence Aarau, 25.

RISIKOLEBEN OPTIMAL SICHER VERSORGT, WENN ES DARAUF ANKOMMT

9001 Kontext der Organisation

1 Abs. 1 a Satz 2 Nr. 1 a KWG definiert die Anlageberatung als die

«Eine Person ist funktional gesund, wenn sie möglichst kompetent mit einem möglichst gesunden Körper an möglichst normalisierten Lebensbereichen

Fachveranstaltung IHK: Kennen Sie Ihr Rating? Katrin Hummel Deutsche Bundesbank Hauptverwaltung HMS

Delta Audit - Fragenkatalog ISO 9001:2014 DIS

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Outsourcing und Offshoring. Definition und Abgrenzung

Sicherheit und Gesundheit in Kleinbetrieben Die Schlüssel zum Erfolg

Bericht des Gleichbehandlungsbeauftragten für das Geschäftsjahr 2012 gemäß 80 Tiroler Elektrizitätsgesetz 2012

Personal-Vorsorgestiftung der Aluminium-Laufen AG Liesberg Liesberg. Bericht der Revisionsstelle an den Stiftungsrat zur Jahresrechnung 2014

Rundschreiben 2008/7 Outsourcing Banken

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Arbeitshilfen zur Auftragsdatenverarbeitung

RSP International. Ihr Partner in Osteuropa und Zentralasien

IT-Revision als Chance für das IT- Management

Informationssicherheit als Outsourcing Kandidat

ProLead. Überlassen Sie das Wertvollste in Ihrem Leben nicht dem Zufall gestalten Sie aktiv die Absicherung Ihrer sorgenfreien Zukunft

Inhaltsübersicht Produktinformationsblatt zur Jahres-Reiserücktritts-Versicherung der Europäische Reiseversicherung AG

Allgemeine Vertragsbedingungen für die Übertragungen von Speicherkapazitäten ( Vertragsbedingungen Kapazitätsübertragung )

Häufig wiederkehrende Fragen zur mündlichen Ergänzungsprüfung im Einzelnen:

Information zur Revision der ISO Sehr geehrte Damen und Herren,

Ende von Vertragsbeziehungen

Der kleine Risikomanager 1. Karin Gastinger

Nutzung dieser Internetseite

Vereinbarung über gewählte Einzelkunden-Kontentrennung. geschlossen zwischen. als Clearingmitglied. (nachfolgend "Clearingmitglied") und

GOOGLE BUSINESS PHOTOS VEREINBARUNG ÜBER FOTOGRAFISCHE DIENSTLEISTUNGEN

IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit

Checkliste. Erfolgreich Delegieren

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Weiterleitung einrichten für eine GMX- -Adresse

Deutsches Forschungsnetz

Gemeinsamer Bericht gem. 293 a AktG. des Vorstands der Allianz AG, München, und

Con.ECT IT-Service & Business Service Management SAM-Outsourcing: Lizenzmanagement als externer Service

Das Rechtliche beim Risikomanagement

Öffentlichen Versicherung Bremen, Bremen Landschaftlichen Brandkasse Hannover, Hannover Provinzial Lebensversicherung Hannover, Hannover

Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen.

Pension Liability Management. Ein Konzept für die Liquiditätsplanung in der betrieblichen Altersversorgung. BAV Ludwig

Versicherungsbetreuungsauftrag und Vollmacht

Schadenversicherung Zulassung von Forderungen gegen Rückversicherer zur Bestellung des gebundenen Vermögens

Auftrag zum Fondswechsel

Grant Thornton Hungary News. April 2014

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

EINE PLATTFORM

REACH-CLP-Helpdesk. Zulassung in der Lieferkette. Matti Sander, Bundesanstalt für Arbeitsschutz und Arbeitsmedizin

Datenschutz-Management

Die rechtsformunabhängige Revisionspflicht

Microsoft Office 365 Kalenderfreigabe

Internet- und -Überwachung in Unternehmen und Organisationen

- Making HCM a Business Priority

Quality Assurance Review der IT-Revision (QAR-IT) -Ein Leitfaden -

Was taugt der Wertpapierprospekt für die Anlegerinformation?

9001 weitere (kleinere) Änderungen

Auftakt-Konferenz Solvency II am 24. Mai 2011 in Schaan

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010

Anzuwendende Vorschriften

Mit Sicherheit gut behandelt.

Nachhaltige Beschaffung

Konsultation 1/ erster Entwurf der überarbeiteten Outsourcing-Regelungen

Offenlegung Vergütungssystem. gemäß 7 InstitutsVergV

Fachbereich Wirtschaftswissenschaften Die Vorsitzenden der Prüfungsausschüsse

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

HintergrÜnde. zur Urheberrechtsabgabe. rechnen sie mit uns.

IT-Sicherheit. ein Thema für das Management? Herzlich Willkommen. IT-Security für das Management. Vortrag vom netformat GmbH

Berufshaftpflicht für Steuerberater

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

Risikogrundsätze Version 2, Stand 10/2011

Pensionskasse der Burkhalter Gruppe Zürich. Bericht der Revisionsstelle an den Stiftungsrat zur Jahresrechnung 2013

Netzanschlussvertrag Strom für höhere Spannungsebenen

ÜBERGABE DER OPERATIVEN GESCHÄFTSFÜHRUNG VON MARC BRUNNER AN DOMINIK NYFFENEGGER

IT-Outsourcing aus Sicht der Wirtschaftsprüfer

Transkript:

Outsourcing Für Versicherungsunternehmen kann es ökonomisch sinnvoll sein, Funktionen oder Tätigkeiten im Zuge von Outsourcing aus dem eigenen Unternehmen auszulagern. Da dies auch Risiken birgt, ist Outsourcing ein elementarer Teil des Governance-Systems im Rahmen der zweiten Säule von Solvency II. Begriffliche und rechtliche Einordnung Unter Outsourcing ist die Auslagerung unternehmerischer Funktionen oder Tätigkeiten an Drittunternehmen zu verstehen. Entscheidet sich eine Gesellschaft für Outsourcing, werden originär intern produzierte Leistungen nicht mehr selbst erstellt, sondern von extern bezogen. Hierfür geben zumeist betriebswirtschaftliche Erwägungen den Ausschlag, um Effizienzvorteile zu generieren. Eine Auslagerung kann das Risikoprofil eines Versicherungsunternehmens positiv beeinflussen und den Grad der Risikoexponierung insgesamt verringern, sofern der externe Dienstleister für das ausgelagerte Tätigkeitsfeld Größen- bzw. Spezialisierungsvorteile besitzt. Diese können beispielsweise in höherem Fachwissen, einer überlegenen Technik oder geringeren Produktionskosten zum Ausdruck kommen. Daher stellt die sorgfältige Gestaltung von Outsourcing-Prozessen eine wesentliche Anforderung an das Governance-System von Versicherungsunternehmen dar. Dies ist in den aufsichtsrechtlichen Mindestanforderungen an das Risikomanagement (MaRisk VA) und der Solvency-II- Rahmenrichtlinie (SII-RRL) explizit verankert. Im deutschen Rechtsrahmen grenzt das Versicherungsaufsichtsgesetz (VAG) die Funktionsausgliederung vom allgemeinen Terminus der Funktionsauslagerung ab und stellt hierzu enge aufsichtsrechtliche Vorgaben. Nach der Legaldefinition in 5 Abs. 3 Nr. 4 VAG basieren Funktionsausgliederungen auf Verträge[n], durch die der Vertrieb, die Bestandsverwaltung, Dieses Copyright Werk ASSEKURATA, einschließlich Köln aller (Deutschland) seiner Teile unterliegt www.assekurata.de Des Eigentums. Zustimmung Weiteren Es von gelten darf ASSEKURATA weder die Rechtlichen für Handelszwecke Assekuranz Hinweise Rating oder unter zur www.solvency-ii-kompakt.de/content/rechtliche-hinweise. Agentur dem Weitergabe Urheberrecht GmbH kopiert, verwendet und noch anderen werden. verändert Gesetzen und ohne zum schriftliche Schutz geistigen Outsourcing birgt für das auslagernde Versicherungsunternehmen jedoch auch spezifische Risiken, die primär operationeller Natur sind. Sie manifestieren sich beispielsweise in rechtlich nicht haltbaren Vertragsgestaltungen, unsicheren Datenschnittstellen oder schlichtweg der Schlechterfüllung der Leistung durch das Drittunternehmen. die Leistungsbearbeitung, das Rechnungswesen, die interne Revision, die Vermögensanlage oder die Vermögensverwaltung

eines Versicherungsunternehmens ganz oder zu einem wesentlichen Teil einem anderen Unternehmen auf Dauer übertragen werden soll. Anforderungen nach 64a VAG und den MaRisk VA Ausgliederungen der genannten Funktionen sind bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) als Bestandteil des Geschäftsplans einzureichen, da es sich definitionsgemäß um Kernfunktionen eines Erstversicherungsunternehmens 1 handelt. Das Outsourcing nicht aufgezählter Funktionen gilt dagegen formal-juristisch nicht als Funktionsausgliederung, sondern als ausgelagerte sonstige Dienstleistung, für die eine Genehmigungspflicht der Aufsichtsbehörde im Sinne des 13 Abs. 1a VAG entfällt. Gleichwohl gelten auch hier die Anforderungen an eine ordnungsgemäße Geschäftsorganisation gemäß 64a VAG, die mit Einführung der prinzipienbasierten MaRisk VA eine umfassende Konkretisierung erhalten haben. Die MaRisk VA treffen in ihren inhaltlichen Maßgaben allerdings keine Sachverhaltsunterscheidung zwischen Funktionsausgliederungen versicherungstypischer Kernfunktionen und sonstigen ausgelagerten Dienstleistungen, sondern stellen universelle Anforderungen 2. Damit ist für die oben genannten Kernfunktionen ein Outsourcing ebenfalls rechtlich zulässig, wenngleich die daraus resultierenden Risiken besonders sorgfältig geprüft werden sollten. 21 Zur Definition der Kernfunktionen für Rückversicherer vgl. 119 Abs. 2 Nr. 6 VAG. Die Begriffe Ausgliederung und Auslagerung werden daher im Folgenden synonym verwendet. Den Vorgaben aus 64a Abs. 4 VAG zufolge hat das outsourcende Versicherungsunternehmen [...] insbesondere die erforderlichen Auskunftsund Weisungsbefugnisse vertraglich zu sichern und die ausgegliederten Funktionen und übertragenen Aufgaben in sein Risikomanagement einzubeziehen. Dabei ist darauf zu achten, dass die ausgegliederten Funktionen und Aufgaben ordnungsgemäß ausgeführt werden, die Steuerungsund Kontrollmöglichkeiten der Geschäftsleitung gewahrt bleiben und die Prüfungs- und Kontrollrechte der Aufsichtsbehörde nicht beeinträchtigt werden. Die Ausgliederung darf ausdrücklich nicht dazu genutzt werden, die Verantwortung der Geschäftsleitung für eine ordnungsgemäße Geschäftsorganisation an das Auslagerungsunternehmen zu delegieren. 3 Im Umkehrschluss bedeutet dies, dass die Outsourcing-Aktivitäten stets in der gesamtverantwortlichen Kontrolle der Geschäftsleitung und damit im Zugriff des unternehmenseigenen Risikomanagements verbleiben müssen. Daraus folgt auch, dass keinesfalls das komplette Risikomanagementsystem ausgelagert werden darf, sondern allenfalls unter Berücksichtigung des Proportionalitätsgrundsatzes und einer sorgfältigen Risikoabwägung bestimmte Teilfunktionen davon. Um dem Anspruch an eine ordnungsgemäße Geschäftsorganisation gerecht zu werden, 3 ist zudem die Auswahl eines geeigneten externen Dienstleisters von hoher Bedeutung, gerade wenn es sich hierbei um einen versicherungsfremden Vgl. MaRisk VA, Ziff. 8.

Anbieter handelt, damit dieser eine hohe Qualität der ausgelagerten Leistungen sicherstellen kann. Die MaRisk VA sehen ferner vor, dass die Frage nach dem Make-or-Buy stets erst nach einer sorgfältigen Risikoanalyse unter Einbeziehung der betroffenen Geschäftsbereiche und der internen Revision zu beantworten ist. Im Zuge dessen sind die mit der Ausgliederung verbundenen Risiken zu identifizieren, zu analysieren, zu bewerten und sodann angemessen zu steuern. Im Rahmen eines systematischen Risikomanagements hat das Versicherungsunternehmen hierfür klare Verantwortlichkeiten festzulegen und die handelnden Personen zu bestimmen. Letztlich sollten die Versicherer stets auch die Restrisiken der Auslagerung, einschließlich eines möglichen Leistungsoder Systemausfalls, bedenken. 4 Welche Aktivitäten und Prozesse überhaupt ausgelagert werden können, ergibt sich aus der unternehmensindividuellen Risikosituation. Für deren Einschätzung und die vertragliche Gestaltung von Outsourcing sind folgende Kriterien 5 zugrunde zu legen: Hinreichender Spezifizierungsgrad der auszulagernden Leistung; 4 Festlegung von Informations- und Prüfungsrechten der internen Revision und externen Prüfer; 5 Vgl. hierzu bereits Basler Ausschuss für Bankenaufsicht: Management operationeller Risiken, Praxisempfehlungen für Banken und Bankenaufsicht, Februar 2003. Kriterienkatalog in Anlehnung an die Erläuterungen in den MaRisk VA, Ziff. 8, Rn. 2. Sicherstellung der Informations- und Prüfungsrechte sowie der Kontrollmöglichkeiten der Aufsicht; Gestaltung von Weisungsrechten; Beachtung der datenschutzrechtlichen Bestimmungen; Vereinbarung angemessener Kündigungsfristen; Sicherstellung, dass das Unternehmen, auf das ausgegliedert wird, die versicherungsaufsichtsrechtlichen Anforderungen einhält; Verpflichtung des ausgliedernden Unternehmens, das Unternehmen über Entwicklungen zu informieren, die die ordnungsgemäße Leistungserfüllung beeinträchtigen. Da sich die zugrunde liegenden Risikofaktoren im Zeitverlauf ändern können, reicht eine einmalige Betrachtung nicht aus. Vielmehr müssen Unternehmen ihre Outsourcing-Prozesse fortlaufend beobachten, ihre Risikoanalyse und -bewertung bedarfsweise anpassen und die Ausgliederung notfalls beenden. Im Falle der Beendigung muss die Wiedereingliederung der ausgelagerten Funktion bzw. Dienstleistung ohne Qualitätseinbußen erfolgen (können). Dies wird in der Regel größere organisatorische Anpassungen und den Auf- bzw. Wiederaufbau von Know-how und Technik im eigenen Unternehmen nach sich ziehen.

Anforderungen nach Solvency II Grundlegende Vorgaben zum Outsourcing sind auch in der Solvency-II-Rahmenrichtlinie verankert. Gemäß der Begriffsbestimmung in Art. 13 Nr. 28 handelt es sich bei Outsourcing um eine Vereinbarung jeglicher Form, die zwischen einem Versicherungs- oder Rückversicherungsunternehmen und einem Dienstleister getroffen wird, bei dem es sich um ein beaufsichtigtes oder nichtbeaufsichtigtes Unternehmen handeln kann, aufgrund derer der Dienstleister direkt oder durch weiteres Outsourcing einen Prozess, eine Dienstleistung oder eine Tätigkeit erbringt, die ansonsten vom Versicherungs- oder Rückversicherungsunternehmen selbst erbracht werden würde. Outsourcing an Dienstleister in Nicht-EU-Ländern ist demnach grundsätzlich möglich, ebenso wie Sub-Outsourcing. Des Weiteren stellt die Solvency-II- Rahmenrichtlinie explizite Anforderungen an die Beaufsichtigung outgesourcter Funktionen und Tätigkeiten (Art. 38 SII-RRL) sowie die generelle Zulässigkeit von Outsourcing (Art. 49 SII-RRL). Die Zulässigkeit knüpft daran an, dass die Versicherungsunternehmen auch bei ausgelagerten Funktionen für die Erfüllung von Solvency II vollumfänglich verantwortlich bleiben. Insofern muss das auslagernde Unternehmen stets ein hinreichendes Maß an Einflussnahme und Kontrolle auf die Tätigkeit des externen Dienstleisters gewährleisten (siehe auch Abbildung 1). Abbildung 1: Outsourcing im Aufsichtssystem unter Solvency II (Quelle: Eigene Darstellung)

Anders als im nationalen Rechtsrahmen nach VAG stellt die Solvency-II-Rahmenrichtlinie hinsichtlich der Zulässigkeit von Outsourcing explizit auf die Wichtigkeit der ausgelagerten Leistung ab (Art. 49 Abs. 2 SII-RRL). Demnach gelten für die Auslagerung kritischer oder wichtiger operativer Funktionen oder Tätigkeiten besondere Anforderungen: Die Qualität des Governance-Systems des betreffenden Unternehmens darf nicht wesentlich beeinflusst sein. Das operationelle Risiko darf nicht übermäßig gesteigert werden. Die Fähigkeit der Aufsichtsbehörden, die Einhaltung der Verpflichtungen des Unternehmens durch dieses zu überwachen, darf nicht beeinträchtigt werden. Die kontinuierliche und zufriedenstellende Dienstleistung für die Versicherungsnehmer darf nicht gefährdet werden. Hinsichtlich ihrer Bedeutung und ihres universellen Wesenscharakters können diese Vorgaben als allgemeingültig verstanden werden, deren Einhaltung bei Outsourcing generell sinnvoll erscheint. Für das Outsourcing kritischer oder wichtiger Funktionen oder Tätigkeiten besteht ferner die Pflicht, die Aufsichtsbehörde zu informieren (Art. 49 Abs. 3 SII-RRL). Der Aufsichtsbehörde wiederum kommen für alle getroffenen Auslagerungen weitreichende Prüfkompetenzen zu, etwa indem sie unmittelbaren Zugang zu den Geschäftsräumen und auslagerungsrelevanten Daten des externen Dienstleisters erhält (Art. 38 Abs. 1 SII- RRL). Fazit Die Anforderungen an ein ordnungsgemäßes Outsourcing in den MaRisk VA bzw. dem VAG sind nicht vollständig deckungsgleich mit denjenigen unter Solvency II. Hinsichtlich der Zulässigkeitsvoraussetzungen und der Bedeutung unternehmerischer und aufsichtsbehördlicher Kontrollen gehen sie jedoch in eine ähnliche Richtung. Diese zielt im Kern darauf ab, dass Versicherungsunternehmen der Aufsicht umfassende Prüfrechte zu den Outsourcing-Aktivitäten einräumen. Zugleich hat das auslagernde Unternehmen unter Risikogesichtspunkten besonders sorgfältige Maßstäbe an das eigene Outsourcing zu legen. Aus der Natur von Auslagerungen ergibt sich, dass die Konstellation zwischen Aufsichtsbehörde und beaufsichtigtem Versicherungsunternehmen um einen weiteren Akteur, dem externen Dienstleister, erweitert wird. Die MaRisk VA beziehen diesen mittelbar in den Aufsichtskontext ein, indem sie dem auslagernden Unternehmen grundlegende Gestaltungsprinzipien für Outsourcing- Verträge vorgeben. Solvency II sieht in der Rahmenrichtlinie sogar unmittelbare Überwachungshandlungen der Aufsichtsbehörde im Unternehmensspektrum des Dienstleisters vor. Die Analyse, Steuerung und Kontrolle von Auslagerungsaktivitäten bilden einen wichtigen Teilbereich des Governance-Systems von Versicherungsunternehmen. Dieses erfordert eine adäquate Abwägung und ein umsichtiges Management der mit dem Outsourcing verbundenen (spezifischen) Risiken. Die darauf ausgerichteten Pro-

zesse sollten systematisch in das bestehende Risikomanagement und die in der Praxis gelebte Risikokultur einfließen.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback