Drei Jahre nach der Einführung der VAIT (Versicherungsaufsichtliche Anforderungen an die IT) sind nach wie vor zahlreiche Assekuranzen mit einer gesetzeskonformen Umsetzung beschäftigt.
Lesen Sie in diesem Capture Blog-Beitrag:
- Aktuelles zu den VAIT-Anforderungen
- Was die VAIT-Umsetzung für Versicherungen so herausfordernd macht
- Warum Versicherer von der Umsetzung der BAIT-Richtlinie profitieren
- Wie Projektportfoliomanagement (PPM) Governance-Prozesse unterstützt
- Wann Compliance-Aufwände zu Wettbewerbsvorteilen werden
Aktueller Überblick zu den VAIT-Anforderungen
2018 veröffentlichte die BAFIN die “Verwaltungsanweisungen für eine sichere Ausgestaltung der IT” bei Versicherern. Versicherungsunternehmen gerieten damals in Zugzwang, denn die VAIT trat ohne zeitlichen Aufschub in Kraft. Mittlerweile sind zahlreiche IT-Aufsichtsprüfungen durchgeführt worden, die in den meisten Fällen ungenügend ausfielen. Die Konsequenz: Betroffene Unternehmen wurden aufgefordert die identifizierten Mängel zu beheben und mussten eine Vielzahl an neuen IT-Projekten initiieren, um den VAIT-Anforderungen gesetzeskonform nachkommen zu können.
Die Richtlinien der BAFIN umfassen die gesamte IT-Organisation und erfordern technische sowie geschäftsprozessuale Anpassungen. Eine Mammutaufgabe, die ab kommendem Jahr nochmal an Komplexität zunehmen wird. Wie bereits dieses Jahr bei der BAIT (Bankaufsichtliche Anforderungen an die IT), werden 2022 die VAIT-Anforderungen voraussichtlich um die Themenbereiche operative Informationssicherheit und IT-Notfallmanagement erweitert.
Unabhängig vom aktuellen IT-Governance Reifegrad der Versicherer wird die VAIT durch die steigenden Cyberrisiken in Zukunft noch mehr an Bedeutung gewinnen. Vor allem wird sich das Umsetzen der VAIT-Anforderungen zu einer laufenden Projekttätigkeit entwickeln.
Themenschwerpunkte und Herausforderungen
Die VAIT fordert von Versicherern unter anderem:
- Eine umfassende Dokumentationspflicht ihrer IT-Organisation
- Transparenz zum Gesamtportfolio ihrer IT-Projekte
- Prozessstandards, für die ausreichend Personalressourcen zur Verfügung gestellt werden
- Regelmäßige Risikoanalysen, die im Bedarfsfall zu entsprechenden Maßnahmen führen
Dem Wirtschaftsprüfer KPMG zu Folge standen zuletzt vor allem die Bereiche Informationssicherheit (ISM) und -risikomanagement (IRM), Berechtigungsmanagement und die Auslagerung von IT-Services an externe Dienstleister im Fokus der Aufsichtsbehörde. Das betrifft alle IT-Anwendungen eines Versicherers, die oftmals historisch gewachsen und nicht miteinander integriert sind, aber laut VAIT denselben Sicherheits- und Dokumentationsstandards folgen müssen. Für eine gesetzeskonforme Umsetzung der VAIT-Anforderungen reicht der Fokus auf die dringlichsten Sicherheitslücken allerdings nicht aus. CIOs und Compliance Manager müssen die Vorgaben der BAFIN ganzheitlich berücksichtigen.
Versicherer können sich an der BAIT-Umsetzung orientieren
Ein Vorteil von Versicherern ist, dass die VAIT nahezu ident mit den Bankaufsichtlichen Anforderungen an die IT ist, welche schon ein Jahr früher in Kraft getreten sind. Daher können sich Versicherer bei der Weiterentwicklung ihrer IT-Compliance an der BAIT-Umsetzung orientieren.
Banken haben die verschärften Compliance-Pflichten bereits dazu genutzt, die Einhaltung der Richtlinien im Rahmen eines professionellen Programmmanagements langfristig auszulegen. Die BAIT-Anforderungen beziehen sich auf die operative und strategische IT-Organisation. Durch den zentralen Stellenwert technologischer Lösungen für das Kerngeschäft von Banken und dem hohen Digitalisierungsdruck der Branche wirkt sich das aber auch unmittelbar auf andere Unternehmenseinheiten aus.
PPM-Lösungen unterstützen bei der VAIT-Umsetzung
Dementsprechend groß ist der Bedarf an Projektportfoliomanagement-Lösungen, da diese komplexe, zusammenhängende Projektstrukturen und -abläufe dynamisch managen und Compliance-Aufwände in hohem Maße reduzieren. Auch Versicherer profitieren durch die Einführung von PPM-Software. Denn PPM-Software ermöglicht:
- Die VAIT-Umsetzung mit anderen Projekten in Portfolios zu bündeln, zentral zu steuern und miteinander zu verknüpfen
- Projektübergreifende Änderungen auf Knopfdruck anzupassen
- Datenbasierte Risikoanalysen mit einer unmittelbaren Zuordnung von Maßnahmen zu betroffenen Projekten umzusetzen
- Die standardbasierte Gestaltung von Projekt-Templates und Reportings, die sich unter anderem am COBIT Governance Framework ausrichten, welches auch den VAIT-Vorgaben zu Grunde liegt
Damit werden die VAIT-Anforderungen an eine transparente, standardisierte Dokumentation der IT-Organisation, sowie eine regelmäßige Überprüfung und Anpassung laufender IT-Tätigkeiten vollumfänglich tool-basiert unterstützt.
IT Governance und Compliance Management: Bürde oder Chance?
Die VAIT-Umsetzung ist gesetzlich verpflichtend. Versicherungsunternehmen haben aber die Wahl, mit welchem organisationalen Mindset sie diesen Aufgaben nachkommen. Grundsätzlich sind alle Vorgaben der BAFIN in Hinblick auf digitale Sicherheit und Nachvollziehbarkeit von IT-Maßnahmen sinnvoll und praktikabel. Die rasche VAIT-Umsetzung kann sogar zu einem Hebel für die Gesamtperformance von Versicherern werden. Wird das Nachholen längst notwendiger IT-Modernisierungen und die fortlaufende Evaluierung der IT richtig gemanagt, kann auf diesem Wege auch eine Digitalisierungs-Roadmap entstehen - die Grundlage für nachhaltige Kundenzufriedenheit und innovative Geschäftsmodelle der Assekuranzen.
Capture Praxis-Tipp
Unsere Consultants zeigen Ihnen gerne im Rahmen einer Live-Demo, wie Sie die VAIT-Anforderungen mit Projektportfoliomanagement-Lösungen umsetzen. Nutzen Sie die kostenfreie Erstberatung zum Thema “VAIT-Umsetzung und ganzheitliches IT Governance Management mit PPM”. Wir freuen uns auf Sie!