Von steigendem Rechtsfertigungsdruck, von systemischen Risiken aus unerwarteter Richtung und davon, dass 90% der Versicherer und EbAV die Anforderungen einer bestimmten Regulierung nur teilweise oder gar nicht erfüllen, berichten erneut Cornelia Schmid und Xaver Ketterl..
Vierter und letzter Teil der Berichterstattung auf auf LEITERbAV zu der diesjährigen aba-Aufsichtsrechtstagung, die am 18. Oktober in Bonn stattgefunden hat:
Aufsicht (II): erst Auslagerungsprozess, dann Auslagerung
Der zweite Teil der Tagung beginnt mit einer Betrachtung des überarbeiteten BaFin-Rundschreibens über Versicherungsaufsichtliche Anforderungen an die IT (VAIT 2.0) und Auslagerungen an Cloud-Anbieter aus den jeweiligen Perspektiven von Aufsicht, EbAV und Dienstleister:
Andreas Pfeßdorf, Prüfungsleiter der Gruppe IT-Aufsicht/Cybersicherheit der BaFin, fasst zu Beginn seines Vortrags die Inhalte der VAIT-Novelle 2022 sowie die sich aus diesen Aktualisierungen resultierenden Anforderungen zusammen. Anschließend empfiehlt Pfeßdorf, vor einer Cloud-Auslagerung einen Auslagerungsprozess zu entwickeln und dokumentieren. Dieser Prozess sollte alle für die Auslagerung an den Cloud-Anbieter relevanten Schritte von der Strategie über die Migration in die Cloud bis hin zur Exit-Strategie abdecken und eine entsprechende Risikoanalyse vorsehen. Ferner sind vor der Auslagerung alle relevanten internen Prozesse, die auch weiterhin im Haus bleiben, dahingehend zu überprüfen, ob diese bereit für die Cloud sind.
Der Referent beendet seinen Beitrag mit der Feststellung, dass das Thema IT- und Cybersicherheit auf absehbare Zeit zentral bleiben wird – sowohl für die EbAV als auch für die Aufsicht. Entsprechend ist eine stetige Weiterentwicklung der Anforderungen an die IT- und Cybersicherheit notwendig. Der Digital Operational Resilience Act (DORA) ist einer der nächsten großen Schritte, durch den die Finanzstabilität weiter gestärkt werden soll.
Industrie: Wer macht überhaupt mit?
Jörg Paßmann, Head of Pensions der RWE AG und Leiter des aba-Fachausschusses Digitalisierung, berichtet in seinem Beitrag von der gremienübergreifenden aba-Arbeitsgruppe, die sich v.a. mit der Frage befasste, wie die Anforderungen des VAIT-Rundschreibens unter Berücksichtigung des Proportionalitätsprinzips zu verstehen sind und von EbAV umgesetzt werden können. Ferner stellt Paßmann die von der Arbeitsgruppe erarbeitete Umsetzungshilfe in Auszügen vor:
Laut einer aktuellen Zwischenbilanz der BaFin von Juni 2022 über die in jüngster Zeit erfolgten Prüfungen haben 90% der Versicherer und EbAV die Anforderungen der VAIT nur teilweise bzw. nicht erfüllt. Aus einer (nicht repräsentativen) aba-Umfrage hat sich ergeben, dass die VAIT-Kapitel „Informationsrisikomanagement“, „Informationssicherheitsmanagement“ und „Ausgliederungen“ den höchsten Aufwand bei der Umsetzung erfordern. Die aba-Umsetzungshilfe werde im November 2022 im Mitgliederbereich der aba-Homepage veröffentlicht.
Anbieter: Wege in die Wolke
Bastian Bahnemann, Security Assurance Lead FSI Europe bei Amazon Web Services, stellt zu Beginn seines Vortrags die Cloud-Infrastruktur sowie die von AWS angebotenen Dienstleistungen vor: In Deutschland spricht nichts gegen eine Cloud-Nutzung, weder für die regulierte Finanzindustrie noch für kritische Workloads – das gilt auch für die Zusammenarbeit mit US-amerikanischen Dienstleistern.
Ordentlich geplant und umgesetzt kann die Nutzung der Cloud helfen, Risiken zu mindern, Sicherheit und Resilienzen zu erhöhen und Kontrollen zu automatisieren. Kritische Erfolgsfaktoren für die Cloud-Nutzung sind ein zuständiges Team, die frühe Einbeziehung relevanter Beteiligter inklusive Kontrollfunktionen sowie die Anpassung der Sicherheits- und Kontrollprozesse.
Aufsicht (III): Wer hat hier mehr Mandate?
Die neue Anzeigepflicht für Auslagerungen bzw. Ausgliederungen thematisiert Sibel Kocatepe, Referentin in der Gruppe IT-Aufsicht der BaFin, in ihrem Vortrag:
Kocatepe unterstreicht, dass die Digitalisierung die Möglichkeiten der Finanzmarktteilnehmer verstärkt, Aktivitäten und Prozesse auszulagern. Die daraus resultierende Vielzahl der Auslagerungen führt zur Entstehung von Mehrmandantendienstleistern, deren Ausfall ein Risiko für den gesamten Finanzbereich bedeutet. Ziel der neuen Anzeigepflicht ist es, Mehrmandantendienstleister zu identifizieren und somit überwachen zu können.
Aktuell, so die Referentin, liegt die Versicherungs-Ausgliederungsanzeigenverordnung beim Normenkontrollrat, bei dessen Einverständnis die Verordnung noch 2022 in Kraft treten kann. Eine Ausfüllhilfe für das dazugehörige Online-Portal („MVP-Portal“) wird aktuell erarbeitet. Die hierfür erforderliche Registrierung kann jetzt schon erfolgen.
Die Verordnung wird Pflichten zur Anzeige von Absicht von Auslagerungen, Nichtvollzug, wesentlichen Änderungen sowie schwerwiegenden Vorfällen beinhalten. Zusätzlich wird die BaFin zu Beginn des kommenden Jahres eine geschäftsbereichsübergreifende Abfrage zu bereits bestehenden Auslagerungen bei Unternehmen, die aus Konzentrationsrisikoaspekten am wichtigsten sind, durchführen.
Aus Sicht der EbAV bzw. der Nutzer wird bedauert, dass MVP-Portal der BaFin keine Zwischenspeicherung zulässt.
Verband (II): Offenlegungs-Verordnung mit offenen Fragen
Roberto Cruccolini, Leiter des Fachbereichs Wirtschaft bei der AKA, steigt in seinen Vortrag mit einem Überblick über die Anforderungen der Offenlegungs-VO ein und erläutert, welche Anforderungen der Verordnung seit dem 10. März 2021 verpflichtend zu erfüllen sind und welche (noch) auf Freiwilligkeit basieren:
Am 25. Juli 2022 wurden die delegierten Rechtsakte zur Offenlegungs-VO veröffentlicht, die ab dem 1. Januar 2023 greifen. Viele der diesbezüglichen Anwendungsfragen bleiben allerdings offen, vor allem in Hinblick auf die Frage, ab wann ein sog. Artikel-8-Produkt vorliegt. Hilfreich waren die im September 2022 von der BaFin veröffentlichten FAQ hinsichtlich der Frage, wie mit Altverträgen umzugehen ist.
Plant eine EbAV ein PAI-Statement („Comply“ nach Artikel 4 der Verordnung), ist dieses zum 30. Juni 2023 fällig und muss Daten für das Jahr 2022 beinhalten, hält Cruccolini fest.
Klargestellt wurde in dem delegierten Rechtsakt die indirekte Durchschau bei Fondsstrukturen und Finanzinstrumenten. Der Referent bewertet dies als materiell naheliegend, allerdings schwierig in der Umsetzung. Cruccolini prognostiziert, dass der Rechtsfertigungsdruck für den Fall, dass kein PAI-Statement abgegeben wird, in der Zukunft steigen wird. Klargestellt wurde mittlerweile, dass für jedes Artikel-8-Produkt Taxonomie-Konformitätsquoten angegeben werden müssen.
Aufsicht (IV): GDV-Gesamtansatz
Susanne Andergassen, juristische Referentin im Grundsatzreferat Kapitalanlage im Geschäftsbereich Versicherungsaufsicht der BaFin, geht in ihrem Vortrag zunächst auf Inhalt und Ziele der Offenlegungs-VO ein. Anschließend stellt sie zwei Ansätze des GDV zum Umgang mit nachhaltigen Produkten nach Art. 8 und 9 der Offenlegungs-VO mit (teilweiser) Anlage im Sicherungsvermögen vor. Beide Ansätze wurden der BaFin vorgestellt und werden nun BaFin-intern diskutiert. Da auch EbAV (teilweise) Anlagen im Sicherungsvermögen haben, ist die BaFin auch mit der aba dazu in Diskussion.
Der „Gesamtansatz“ des GDV sieht eine klare Beschreibung u.a. der Anlageziele und -strategie vor, mit der die Nachhaltigkeitsmerkmale erfüllt werden sollen. Ein wesentlicher Teil der relevanten Vermögenswerte im Kapitalanlagemanagement sollte den beworbenen Nachhaltigkeitszielen unterliegen, und in der Umsetzung sollte ein angemessenes Ambitionsniveau des Versicherers erkennbar sein. In Bezug auf den Teil der wirtschaftlichen Aktivitäten, die zu ökologischen oder sozialen Zielen beitragen/den Teil der nachhaltigen Investitionen nach Art. 2 Nr. 17 Offenlegungs-VO oder in Bezug auf den Teil des Sicherungsvermögens, mit dem die Reduzierung von nachteiligen Nachhaltigkeitsfaktoren (PAI) verfolgt wird, gelten Angabe gemäß keinerlei quantitativen Vorgaben oder Schwellenwerte. Versicherungsunternehmen sollten sich selbst eigene unternehmensindividuelle Vorgaben oder Schwellenwerte setzen, so die Referentin.
Die Anlagestrategie sollte in den Produktinformationen klar ausgewiesen werden. Es sollte deutlich beschrieben werden, wie die Strategie hilft, die beworbenen Nachhaltigkeitsziele zu erfüllen. Es ist u.a. auch eine Angabe zu machen, auf wieviel Prozent des Sicherungsvermögens sich die Anlagestrategie, mit der das Nachhaltigkeitsmerkmal beworben wird, bezieht, und wieviel Prozent der Kapitalanlagen im Sicherungsvermögen das beworbene Nachhaltigkeitsmerkmal erfüllen.
Beim „Quotenansatz“ des GDV ist sowohl ein weiter Anwendungsbereich, der beliebige Kombinationen von ESG-Einstufungen innerhalb des Sicherungsvermögens zulässt, als auch ein enger Anwendungsbereich, bei dem das Sicherungsvermögen eines Versicherungsunternehmens in seiner Gesamtheit mit nachhaltigen Merkmalen beworben werden kann und für mindestens einen Teil des Neugeschäfts nachhaltige Investitionen angestrebt werden, möglich. Der Quotenansatz kann laut dem GDV-Diskussionsvorschlag auch rückwirkend angewendet werden und das Jahr der Einführung zeitlich zurück liegen, um bereits vorhandene Produkte und Kapitalanlagen zu berücksichtigen.
Die nächste EbAV-Aufsichtsrechtstagung findet am 28. September 2023 statt. Am 29. September 2023 folgt wieder die Fachtagung der Fachvereinigung Pensionskassen.
Cornelia Schmid ist stellv. Geschäftsführerin der Arbeitsgemeinschaft für betriebliche Altersversorgung aba und betreut dort die Fachvereinigungen Pensionskasse und Pensionsfonds, den Fachausschuss Kapitalanlage und Regulatorik, die Europaarbeit sowie den Bereich Statistik.
Xaver Ketterl ist bei der der Arbeitsgemeinschaft für betriebliche Altersversorgung aba ebenfalls für die Europaarbeit zuständig.
Fazit von LEITERbAV
Zum Fazit von LEITERbAV (!) verweist der Chronist auf die Schlussfolgerungen, die er in den beiden eingangs erwähnten ersten Berichterstattungen zu der aba-Aufsichtsrechtstagung gezogen hat. Darüber hinaus hier nur zwei Dinge:
Erstens zu der Aussage Leppäläs, PensionsEurope werde darauf drängen, „dass dem Existenzgrund von EbAV, ihren Mitgliedern angemessene Rentenleistungen bereitzustellen, angemessen berücksichtigt wird.“ Richtig, das sollten alle Verantwortlichen stets im Auge behalten. Ein größeres S als das den EbAV inhärente kann niemand vorweisen.
Zweitens zu der Aussage Nellshens, dass die EIOPA- und BaFin-Abfragen zwar den gleichen Grundinhalt, aber eine komplett andere Aufschlüsselung erfordern und folglich EINE EbAV hierfür ZWEI EDV-Systeme anschaffen und betreiben muss. Hier sei Nellshen zugerufen, doch das Praktische nicht zu übersehen: Mit dem Reporting der zusätzlichen IT-Kosten kann man dann ja gleich wunderbar das neue EbAV-Kostenberichtswesen testen!
Im Übrigen sei festgehalten, dass die Quantität der Regulierung der Sozialeinrichtungen namens EbAV offenbar ständig aufs Neue zu beweisen sucht, dass sie die Grenze des noch Überschaubaren längst überschritten hat.
Der erste Teil der Berichterstattung zur aba-Aufsichtsrechtstagung findet sich auf LEITERbAV hier, der zweite Teil hier, der dritte Teil hier.
Die erste Teil der mehrteiligen Berichterstattung zur aba-Pensionskassentagung findet sich auf LEITERbAV hier.