Quelle: Deutsche Telekom
Märkte & Vertrieb

VAIT tritt in Kraft: Was Versicherer jetzt wissen müssen

Von Alexander Thoma und Tilman ParpartTagesaktuelle Informationen und Neuigkeiten aus der Versicherungsbranche. Alle Nachrichten des Tagesreports auch als Newsletter abonnierbar.
Die Bafin überwacht bei weitem nicht nur die Zahlen der Versicherer. Auch die IT-Ausrüstung der Unternehmen haben die Aufseher in Zeiten von zunehmenden Cyberattacken im Blick. Alexander Thoma und Tilman Parpart haben für VWheute in einem Gastbeitrag analysiert, was die "Versicherungsaufsichtliche Anforderungen an die IT“ (VAIT) für die Unternehmen bedeuten.

Der am 13.03.2018 vorgestellte Entwurf zu den Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) wurde nach Ende der Konsultationsphase am 2. Juli in einem finalen Rundschreiben der Bafin veröffentlicht. Für die Versicherer sind die VAIT dadurch mit sofortiger Wirkung gültig.

 

Die mit dem Rundschreiben "10/2018 – Versicherungsaufsichtliche Anforderungen an die IT" veröffentlichte Fassung der VAIT weist keine wesentlichen inhaltlichen Unterschiede gegenüber dem Referentenentwurf des Rundschreibens auf. Die Anmerkungen des Gesamtverbandes der deutschen Versicherungswirtschaft (GDV) in seiner Stellungnahme vom 19. April blieben damit unberücksichtigt. Der GDV forderte unter anderem die Vermeidung von Doppelregulierungen und redundanten Berichtspflichten durch bestehende Anforderungen, aus beispielsweise dem IT-Sicherheitsgesetz, sowie eine konsequente Umsetzung des Proportionalitätsprinzips. Neben der Kritikalität von IT-Systemen und Prozessen sollten hier nach dem GDV auch die Wesentlichkeit und vor allem der Versicherungsbezug in die Bewertung des Risikoprofils einfließen. Insgesamt bemängelte der GDV zu detaillierte Dokumentationspflichten und bürokratische Anforderungen (insbesondere zur IT-Ausgliederung), die von den Versicherern nur mit erheblichem Aufwand umzusetzen sind und in keinem angemessenen Verhältnis zum Aufsichtsziel stehen.

 

Ob die kritisierten Punkte des GDV in eine überarbeitete Fassung der VAIT einfließen werden bleibt ungewiss. Fest steht, dass die bereits im Artikel "Nächste Liste abarbeiten" (S.40 der Juli-Ausgabe) dargestellten Herausforderungen für die Versicherer durch die VAIT in unverändertem Umfang und ohne Übergangsfrist für die Versicherungsunternehmen seit dem 2. Juli bereits bestehen.

 

Die Versicherer stehen nun vor erhöhten Dokumentationsanforderungen. Mit beispielsweise den Organisationsrichtlinien für IT-bezogene Geschäftsaktivitäten, dem Sollmaßnahmenkatalog oder weiteren themenspezifischen Richtlinien müssen viele Dokumentationsobjekte neu erstellt werden. Sei es die geforderte Übersicht des Informationsverbundes oder die Vermeidung von Interessenskonflikten, die sich durch alle Anforderungsbereiche zieht, mit den VAIT müssen die Versicherer auch eine stärkere Transparenz ihrer IT-Systeme und IT-Prozesse gewährleisten.

 

Berechtigungsmanagement und der Anwendungsentwicklung

 

Insbesondere im Berechtigungsmanagement und der Anwendungsentwicklung müssen Versicherungsunternehmen umfassende Anpassungen ihrer IT-Prozesse umsetzen um den detaillierten Anforderungen der VAIT gerecht zu werden. Erstmals enthalten sind auch konkrete Anforderungen zum Umgang mit Individueller Datenverarbeitung (IDV), wie das Führen eines IDV-Registers und die Erstellung einer IDV-Richtlinie. Die VAIT machen ein Umdenken in der Steuerung und Überwachung von IT-Projekten und IT-Bereichen notwendig. Gefordert ist eine zentrale Steuerung in einem IT-Projekt-Portfoliomanagement und die kennzahlenbasierte Bewertung und Überwachung des IT-Bereichs. Dieser rückt damit weiter in die Rolle eines internen Service-Dienstleisters. Herausfordernd für die Versicherer stellt sich auch die stärkere Risikobetrachtung bei der IT-Ausgliederung dar. Für auszugliedernde IT-Dienstleistungen muss vorab eine umfangreiche Risikoanalyse durchgeführt werden, welche auch Vertragsanpassungen zur Folge haben kann.

 

Im Vergleich zu der Bankenbranche, die mit dem stärkeren IT-Bezug der MaRisk gegenüber den MaGo schon seit Jahren auf die Anforderungen der im November 2017 veröffentlichten BAIT hingeführt wurden, stehen die Versicherungsunternehmen vor einem deutlich höheren Aufwand zur Umsetzung der VAIT. Ob es wie bei den BAIT zu einer Einbindung von Prüfungsanforderungen aus den VAIT in die gesetzliche Jahresabschlussprüfung kommt, wird derzeit kontrovers diskutiert.

 

Vor diesem Hintergrund empfiehlt es sich für die Versicherer schnellstmöglich die Konformität der eigenen IT-Systeme und IT-Prozesse mit den VAIT zu prüfen. Gegebenenfalls bestehende Abweichungen müssen identifiziert werden und die Versicherer müssen Handlungsmaßnahmen zu deren Behebung ergreifen.

Deloitte · Versicherungsaufsichtliche Anforderungen an die IT (VAIT) · Tilman Parpart
Auch interessant
Zurück
10.08.2018VWheute
Verbes­serte Versor­gung: Wenn die Lungen­ma­schine mit dem EKG spricht Das Internet of Medical Things (IoMT) wird das Gesundheitswesen revolutioniere…
Verbes­serte Versor­gung: Wenn die Lungen­ma­schine mit dem EKG spricht
Das Internet of Medical Things (IoMT) wird das Gesundheitswesen revolutionieren. Das verbundene Netzwerk medizinischer Geräte und Systeme sammelt, ordnet und übermittelt Daten und erlaubt somit bessere …
20.06.2018VWheute
So wird die IFRS 17 Umset­zung ein Erfolg Mehr als ein Jahr nach der Veröffentlichung von IFRS 17 stellen sich weltweit über 450 Versicherer …
So wird die IFRS 17 Umset­zung ein Erfolg
Mehr als ein Jahr nach der Veröffentlichung von IFRS 17 stellen sich weltweit über 450 Versicherer weitreichenden organisatorischen, prozessualen und IT-architektonischen Challenges. Bis zur Erstanwendung bleibt noch Zeit, doch erste …
07.03.2018VWheute
Deloitte rechnet mit stei­genden Gesund­heits­aus­gaben Die Ausgaben für das Gesundheitswesen werden in den kommenden Jahren angesichts steigender …
Deloitte rechnet mit stei­genden Gesund­heits­aus­gaben
Die Ausgaben für das Gesundheitswesen werden in den kommenden Jahren angesichts steigender Lebenserwartung und zunehmender Zivilisationskrankheiten weiter steigen, glaubt die Wirtschaftsprüfungsgesellschaft Deloitte. Dabei …
12.02.2018VWheute
IDD-Umset­zung tritt wie geplant in Kraft Auch wenn auf europäischer Ebene derzeit noch über eine Verschiebung der Versicherungsvertriebsrichtlinie …
IDD-Umset­zung tritt wie geplant in Kraft
Auch wenn auf europäischer Ebene derzeit noch über eine Verschiebung der Versicherungsvertriebsrichtlinie IDD nachgedacht wird, tritt in Deutschland die nationale Umsetzung der IDD wie vorgesehen am 23. Februar in Kraft. Die damit …
Weiter