Zum Hauptinhalt springen

Versicherungsaufsichtliche Anforderungen an die IT (VAIT)

Der regulatorische Druck auf Versicherer steigt

Am 13.03.2018 stellte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) den Entwurf eines Rundschreibens zu den Versicherungsaufsichtlichen Anforderungen an die IT zur Konsultation. Nachdem bereits Ende 2017 die Bankaufsichtlichen Anforderungen an die IT (BAIT) veröffentlicht wurden, erfolgt nunmehr mit den VAIT die Auslegung der Vorschriften zur Beaufsichtigung der Versicherungsunternehmen (§ 23 ff. VAG) durch die BaFin.

Grundsätzlich stellen die VAIT lediglich eine Konkretisierung bereits bestehender Vorschriften aus dem VAG beziehungsweise aus den Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo) hinsichtlich IT dar. Vom Umfang der gesetzten Anforderungen gehen sie jedoch weit über diese hinaus. Die acht Anforderungsbereiche (siehe Darstellung) der VAIT legen unter anderem Vorgaben zu IT-Governance, zur Informationssicherheit sowie zur Entwicklung und dem Betrieb von IT-Systemen fest.

Die neuen Anforderungen an die IT umfassen nun auch die vom Fachbereich entwickelten Systeme der Individuellen Datenverarbeitung (IDV) und einfache Software-Dienstleistungen die zukünftig als Ausgliederung betrachtet werden. Für die Versicherer bedeuten die Vorgaben der VAIT vor allem eine Steigerung der Dokumentations- und Kontrollanforderungen in der IT sowie die Notwendigkeit einer stärkeren Transparenz von verarbeiteten Informationen in den IT-Systemen und den zugehörigen Prozessen. Der von der BaFin zur Konsultation gestellte Entwurf der VAIT wurde bereits am 19.04.2018 in einer Stellungnahme des Gesamtverbandes der deutschen Versicherungswirtschaft (GDV) bewertet. Der GDV bemängelt insbesondere den Umfang der neuen Anforderungen vor dem Hintergrund der bereits bestehenden Regulierungen zur IT und schlägt konkrete Nachbesserungen der VAIT vor.

Ein Blick in Richtung VAIT-Umsetzung

 

Insbesondere folgende Aspekte aus den VAIT stellen Versicherer bei der Umsetzung vor Herausforderungen:

  1. Enterprise Information Management:
    z.B. Rz. 20: „Das Unternehmen hat über einen aktuellen Überblick über die Bestandteile des festgelegten Informationsverbunds sowie deren Abhängigkeiten und Schnittstellen zu verfügen.“ [Zu einem Informationsverbund gehören beispielsweise geschäftsrelevante Informationen, Geschäftsprozesse, IT-Systeme sowie Netz- und Gebäudeinfrastrukturen.]
  2. Berechtigungsmanagement:
    z.B. Rz. 34: „(…) legen (…) Berechtigungen für die IT-Systeme konsistent zum ermittelten Schutzbedarf (…) fest.“ Orientierung am Schutzbedarf; nicht an der Funktion
    z.B. Rz. 36: „Jeder technische Benutzer muss einer verantwortlichen natürlichen Person zugeordnet sein.“
  3. Auslagerung:
    z.B. Rz. 68: „(…) Die Ergebnisse der Risikoanalyse sind in angemessener Art und Weise im Managementprozess des operationellen Risikos, vor allem im Bereich der Gesamtrisikobewertung des operationellen Risikos, zu berücksichtigen.“
  4. Dokumentationsanforderungen:
    z.B. Rz. 16 Organisationsrichtlinien: „ IT-bezogenen Geschäftsaktivitäten auf der Grundlage von Arbeitsablaufbeschreibungen“
    z.B. Rz. 64 Datensicherungskonzept: „Anforderungen an die Verfügbarkeit, Lesbarkeit und Aktualität der Kunden- und Geschäftsdaten sowie an die für deren Verarbeitung notwendigen IT-Systeme“
  5. IT Portfoliomanagement:
    z.B. Rz. 47: „Das Portfolio der IT-Projekte ist angemessen zu überwachen und zu steuern“
    z.B. Rz. 46: „IT-Projekte sind angemessen zu steuern (…) hierfür sind Vorgehensmodelle festzulegen, deren Einhaltung zu überwachen ist“
  6. IT-Anwendungsentwicklung/IDV:
    z.B. Rz. 57: „Vorgaben zur Identifizierung der von Endbenutzern des Fachbereichs entwickelten oder betriebenen Anwendungen (…) in einer IDV-Richtlinie. (…) Für einen Überblick und zur Vermeidung von Redundanzen wird ein zentrales Register der kritischen bzw. wesentlichen Anwendungen geführt.“

Die Deloitte Services für eine erfolgreiche VAIT-Umsetzung

 

Da von der BaFin zunächst keine Übergangsfrist nach der Verabschiedung der VAIT Mitte 2018 vorgesehen ist, sollten Versicherungsunternehmen frühzeitig die Weichen stellen ihre IT-Organisation hinsichtlich der Anforderungen aus den VAIT auf den Prüfstand stellen und wenn nötig rechtzeitig Maßnahmen ergreifen, um die gesetzten Erwartungen der Aufsicht zu erfüllen.

Das Risk Advisory Insurance-Team von Deloitte ermittelt in einem standardisierten Projektvorgehen den aktuellen Erfüllungsgrad der VAIT-Anforderungen Ihrer IT-Systeme und Prozesse. Hierbei verwenden wir ein interaktives, webbasiertes Analysetool. Auf Basis des Compliance Checks leiten wir gemeinsam die notwendigen Maßnahmen zur vollständigen Umsetzung der VAIT ab. Gerne begleiten wir Sie von der Analyse bis zur konkreten Maßnahmenumsetzung und stehen für Rückfragen bereit.

Der Projektansatz von Deloitte

 

Unsere Experten machen Ihre IT-Organisation, IT-Systeme und Prozesse VAIT-konform!

Fanden Sie dies hilfreich?

Vielen Dank für Ihr Feedback

Wenn Sie helfen möchten, Deloitte.com weiter zu verbessern, füllen Sie bitte folgendes aus: 3-min-Umfrage