SOLV-II-001
Governance-System (Art. 41)
Die Versicherungsunternehmen verfügen über ein wirksames Governance-System, das eine transparente Organisation und eine klare Aufgabenzuweisung gewährleistet.
Umsetzung
Governance-Handbuch, Schlüsselfunktionen benennen (Risiko, Compliance, Revision, Aktuar)
Governance-Handbuch
Fit-and-Proper-Dokumentation
Funktionsmatrix
DORA-Mapping:
DORA Art. 5(1) — IKT-Governance
SOLV-II-002
Risikomanagementsystem (Art. 44)
Die Versicherungsunternehmen verfügen über ein wirksames Risikomanagementsystem, das die Identifizierung, Bewertung, Steuerung und Überwachung aller Risiken umfasst.
Umsetzung
Risikostrategie, Risikoinventar, Risikoberichterstattung, Stresstests
Risikostrategie
Risikoberichte
Stresstest-Ergebnisse
DORA-Mapping:
DORA Art. 6 — IKT-Risikomanagementrahmen
SOLV-II-003
Eigene Risiko- und Solvabilitätsbeurteilung — ORSA (Art. 45)
Die Versicherungsunternehmen führen regelmäßig eine eigene Risiko- und Solvabilitätsbeurteilung (ORSA) durch, die die Beurteilung des Gesamtsolvabilitätsbedarfs umfasst.
Umsetzung
ORSA-Prozess, ORSA-Bericht jährlich, prospektive Beurteilung des Gesamtsolvabilitätsbedarfs
ORSA-Bericht
ORSA-Prozessdokumentation
Genehmigungsnachweis Vorstand
DORA-Mapping:
DORA Art. 6(3) — Risikobewertung
SOLV-II-004
Interne Modelle (Art. 112-127)
Interne Modelle zur Berechnung der Solvabilitätskapitalanforderung (SCR) bedürfen der vorherigen aufsichtlichen Genehmigung.
Umsetzung
Modell-Governance, Validierung, Dokumentation, Change-Management für Modelländerungen
Modell-Dokumentation
Validierungsberichte
Genehmigungsbescheid
DORA-Mapping:
DORA Art. 24(6) — Testansätze und -methoden
SOLV-II-007
Risikomanagement in der IT (Art. 44 i.V.m. EIOPA Guidelines)
IT-Risiken sind als Teil des operationellen Risikomanagements zu identifizieren, zu bewerten, zu steuern und zu überwachen.
Umsetzung
IT-Risikoinventar, Informationssicherheitsrichtlinie, BCM-Prozess gemäß EIOPA
IT-Risikoinventar
Sicherheitsrichtlinie
BCM-Dokumentation
DORA-Mapping:
DORA Art. 7-11 — IKT-Risikomanagement
SOLV-II-008
Auslagerung von Funktionen (Art. 49, EIOPA Guidelines on Outsourcing)
Die Auslagerung kritischer oder wichtiger Funktionen ist zu steuern. Die Auslagerung darf die Qualität des Governance-Systems nicht beeinträchtigen.
Umsetzung
Auslagerungsstrategie, Due Diligence, vertragliche Regelungen, laufende Überwachung
Auslagerungsverzeichnis
Outsourcing-Verträge
Monitoring-Berichte
DORA-Mapping:
DORA Art. 28-30 — IKT-Drittparteienrisiko
SOLV-II-011
Schlüsselfunktionen (Art. 42-48)
Die Versicherungsunternehmen benennen Schlüsselfunktionen für Risikomanagement, Compliance, interne Revision und versicherungsmathematische Funktion.
Umsetzung
Fit-and-Proper-Prüfung, Stellenbeschreibungen, Berichtswege, Unabhängigkeit wahren
Bestellungsnachweise
Fit-and-Proper-Dokumentation
Berichtswegdiagramm
DORA-Mapping:
DORA Art. 5(4) — IKT-Schlüsselfunktionen
SOLV-II-013
IKT-Sicherheit für Versicherungen (Art. 44, EIOPA ICT Guidelines)
Versicherungsunternehmen müssen angemessene IKT-Sicherheitsmaßnahmen umsetzen, einschließlich Informationssicherheit, Zugangskontrolle und Notfallmanagement.
Umsetzung
ISMS, Zugriffskonzept, Notfallmanagement, regelmäßige Sicherheitstests
ISMS-Dokumentation
Sicherheitstestberichte
Sicherheitsmetriken
DORA-Mapping:
DORA Art. 5-16 — IKT-Risikomanagement (vollständig)
SOLV-II-014
Schriftliche Leitlinien (Art. 41 Abs. 3)
Die Versicherungsunternehmen erstellen schriftliche Leitlinien für das Risikomanagement, das interne Kontrollsystem, die interne Revision und das Outsourcing.
Umsetzung
Leitliniendokumente, regelmäßige Überprüfung, Genehmigung durch Geschäftsleitung
Risikomanagement-Leitlinie
IKS-Leitlinie
Outsourcing-Leitlinie
DORA-Mapping:
DORA Art. 5(2) — IKT-Richtlinien
SOLV-II-015
Interne Revision (Art. 47)
Die Versicherungsunternehmen verfügen über eine wirksame interne Revisionsfunktion, die die Angemessenheit und Wirksamkeit des internen Kontrollsystems prüft.
Umsetzung
Revisionsplan, risikoorientierte Prüfung, Follow-up-Prozess
Revisionsberichte
Prüfungsplan
Follow-up-Tracker
DORA-Mapping:
DORA Art. 5(7) — IKT-Prüfung durch Revision
SOLV-II-016
Modell-Governance und Validierung (Art. 121-126)
Für interne Modelle ist ein wirksamer Validierungsprozess einzurichten. Die Validierung wird von Personen durchgeführt, die nicht an der Modellentwicklung beteiligt sind.
Umsetzung
Validierungsplan, unabhängige Validierung, Modell-Change-Management
Validierungsplan
Validierungsberichte
Modell-Änderungsprotokolle
DORA-Mapping:
DORA Art. 24(6) — Testmethoden-Governance