Erschienen in Ausgabe 10-2017Unternehmen & Management

Inventur im Rechenraum

IT-Risikomanagement rückt bei der Individuellen Datenverarbeitung aufsichtsrechtlich in den Mittelpunkt

Von Ralf Engelshove und Detlef Lochmann und Florian LindnerVersicherungswirtschaft

Lesen Sie den vollständigen Artikel

Erhalten Sie Zugang zu allen Artikeln unserer Fachzeitschriften und Publikationen.
Vor dem Hintergrund der aktuellen Konsultation der bankaufsichtlichen Anforderungen an die IT (BAIT) und der Ambition der Bafin, auch für die Versicherungswirtschaft vergleichbare Anforderungen zu formulieren, sind die Anforderungen an die Individuelle Datenverarbeitung (IDV) für das IT-Risikomanagement näher zu betrachten. Unter IDV versteht man durch den Endanwender erstellte Anwendungen zur Deckung von ad hoc und regelmäßig auftretenden Informationsbedürfnissen sowie Verarbeitungshilfen wie z.B. eine durch selbsterstellte Makros erweiterte oder mit hinterlegten Formeln ausgestattete Tabellenkalkulation, eigenentwickelte Programme oder dezentrale Datenbanken.
Sie unterscheidet sich von Software, die einen standardisierten Anwendungsentwicklungsprozess einer IT-Abteilung oder eines Softwareanbieters durchläuft. Die Vorteile von IDV-Anwendungen liegen in der Flexibilität sowie der Möglichkeit, diese passgenau auf einen betrieblichen Prozess oder eine bestimmte Anforderung auszurichten. Mit solchen Tools sind Informationen einfach abzurufen, darzustellen und weiterzuverarbeiten. Dementsprechend setzen viele Fachabteilungen in Versicherungsunternehmen solche Anwendungen ein. Da Entwicklung und Wartung in der Regel durch dezentrale Fachbereiche erfolgen, sind die Kontroll- und Steuerungsmöglichkeiten zentraler IT- und Organisationsabteilungen begrenzt. Aus diesem Grund stellen IDV-Anwendungen ein besonderes Handlungsfeld bei der Umsetzung der aufsichtsrechtlichen Anforderungen dar. Das Thema gewinnt an Relevanz, weil die zunehmende Digitalisierung zu einer Ausweitung des Anwendungsbereichs der IDV führt.
Aufsichtsrechtliche Anforderungen an die IT/IDV von Versicherern lassen sich mittelbar aus den Mindestanforderungen an das Risikomanagement (MaRisk) sowie den bankaufsichtlichen Mindestanforderungen an die IT (BAIT) ableiten. Die BAIT konkretisieren die IT-Ressourcenanforderungen der MaRisk mit Aussagen u.a. zu dem Informationsrisikomanagement, der Datenqualität, der Anwendungsentwicklung, den Benutzerberechtigungen sowie der IT-Revision. In der MaRisk-Novelle 2016 von Banken und Finanzdienstleistern wurde das Thema IDV nun explizit in die Anforderungen an die Datenqualität, die Ausgestaltung der IT-Systeme und Prozesse sowie die regelmäßige Überwachung aufgenommen.
Die prinzipiell geschäftsmodellunabhängigen Anforderungen der BAIT können als Maßstab für die allgemein angemessenen Geschäftsorganisationspflichten des § 23 Abs. 1 VAG herangezogen werden, zumal…