Am 13.03.2018 stellte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) den Entwurf eines Rundschreibens zu den Versicherungsaufsichtlichen Anforderungen an die IT zur Konsultation. Nachdem bereits Ende 2017 die Bankaufsichtlichen Anforderungen an die IT (BAIT) veröffentlicht wurden, erfolgt nunmehr mit den VAIT die Auslegung der Vorschriften zur Beaufsichtigung der Versicherungsunternehmen (§ 23 ff. VAG) durch die BaFin.
Grundsätzlich stellen die VAIT lediglich eine Konkretisierung bereits bestehender Vorschriften aus dem VAG beziehungsweise aus den Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo) hinsichtlich IT dar. Vom Umfang der gesetzten Anforderungen gehen sie jedoch weit über diese hinaus. Die acht Anforderungsbereiche (siehe Darstellung) der VAIT legen unter anderem Vorgaben zu IT-Governance, zur Informationssicherheit sowie zur Entwicklung und dem Betrieb von IT-Systemen fest.
Die neuen Anforderungen an die IT umfassen nun auch die vom Fachbereich entwickelten Systeme der Individuellen Datenverarbeitung (IDV) und einfache Software-Dienstleistungen die zukünftig als Ausgliederung betrachtet werden. Für die Versicherer bedeuten die Vorgaben der VAIT vor allem eine Steigerung der Dokumentations- und Kontrollanforderungen in der IT sowie die Notwendigkeit einer stärkeren Transparenz von verarbeiteten Informationen in den IT-Systemen und den zugehörigen Prozessen. Der von der BaFin zur Konsultation gestellte Entwurf der VAIT wurde bereits am 19.04.2018 in einer Stellungnahme des Gesamtverbandes der deutschen Versicherungswirtschaft (GDV) bewertet. Der GDV bemängelt insbesondere den Umfang der neuen Anforderungen vor dem Hintergrund der bereits bestehenden Regulierungen zur IT und schlägt konkrete Nachbesserungen der VAIT vor.
Insbesondere folgende Aspekte aus den VAIT stellen Versicherer bei der Umsetzung vor Herausforderungen:
Da von der BaFin zunächst keine Übergangsfrist nach der Verabschiedung der VAIT Mitte 2018 vorgesehen ist, sollten Versicherungsunternehmen frühzeitig die Weichen stellen ihre IT-Organisation hinsichtlich der Anforderungen aus den VAIT auf den Prüfstand stellen und wenn nötig rechtzeitig Maßnahmen ergreifen, um die gesetzten Erwartungen der Aufsicht zu erfüllen.
Das Risk Advisory Insurance-Team von Deloitte ermittelt in einem standardisierten Projektvorgehen den aktuellen Erfüllungsgrad der VAIT-Anforderungen Ihrer IT-Systeme und Prozesse. Hierbei verwenden wir ein interaktives, webbasiertes Analysetool. Auf Basis des Compliance Checks leiten wir gemeinsam die notwendigen Maßnahmen zur vollständigen Umsetzung der VAIT ab. Gerne begleiten wir Sie von der Analyse bis zur konkreten Maßnahmenumsetzung und stehen für Rückfragen bereit.
Unsere Experten machen Ihre IT-Organisation, IT-Systeme und Prozesse VAIT-konform!