Alles bereit für die VAIT-Prüfung?

Aufsicht prüft verstärkt IT von Versicherern – bis hin zu den Ausgliederungen

Keyfacts

  • Die BaFin prüft verstärkt die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT).
  • Die VAIT-Prüfung geht über Unternehmensgrenzen hinweg – auch Dienstleister stehen im Fokus
  • Gute Vorbereitung reduziert das Risiko von Feststellungen und wirkt sich wohlwollend auf die Prüfungsplanung der Aufsicht aus
Daniel Wagenknecht
  • Senior Manager, Financial Services
Mehr über meine Themen Nachricht schreiben

Wie sicher und ordnungsgemäß ist IT bei Versicherungsunternehmen? Mit dem Inkrafttreten der VAIT (Versicherungsaufsichtliche Anforderungen an die IT) im Jahr 2018 konkretisierte die BaFin die Anforderungen an die IT, welche gemeinsam mit den MaGO (Mindestanforderungen an die Geschäftsorganisation) die Basis bilden für Aufsichtsprüfungen bei den Versicherern direkt vor Ort. Zusätzlich wurden auf europäischer Ebene neue Regularien für Versicherer veröffentlicht.

In den letzten Jahren wurden verstärkt Aufsichtsprüfungen im Bankensektor durchgeführt und die Versicherungen sind noch verschont geblieben. Dies beginnt sich zu wandeln. Aktuell beginnt die Aufsicht nun verstärkt Schwerpunktprüfungen im Versicherungssektor durchzuführen.

Welche Bereiche im Mittelpunkt der VAIT-Prüfung stehen

Unsere Erfahrungen aus dem Bankensektor zeigen, dass die Feststellungen dementsprechend umfangreich ausfallen können. Insbesondere werden die Bereiche Informationssicherheit (ISM) und -risikomanagement (IRM), Berechtigungsmanagement und IT-Drittleistungsbezug / Ausgliederungen von der BaFin kritisch hinterfragt.

Dabei werden die bekannten Themengebiete der VAIT nicht nur einzeln beleuchtet, sondern auch ihr Zusammenspiel bzw. ihre Abhängigkeiten untereinander – beginnend von der IT-Strategie, über die Wertschöpfungskette bis über die Unternehmensgrenze hinweg zum Outsourcing bzw. Cloud Computing.

Viele Versicherer haben Anforderungen nicht vollumfänglich umgesetzt

Insbesondere im Umfeld der Ausgliederungen ist bei den Versicherern noch ein Nachholbedarf zu erkennen, denn die aus der Bankenwelt bekannten Anforderungen sind bei zahlreichen Versicherern so in der Praxis noch nicht umgesetzt oder erkennbar. Das Risiko von Feststellungen liegt auf der Hand.

Hinzu kommen neue Regularien von europäischer Ebene, die zusätzlich eine Detaillierung der Vorgaben mit sich bringen. Die   sind nur ein Beispiel dafür, welche Vorgaben an Outsourcing an Cloud-Dienstleister bestehen.

Proaktivität wird positiv bewertet

Um kritische Feststellungen durch die BaFin zu vermeiden, sollten Versicherer aufsichtsrechtliche Prüfungen nicht abwarten. Zielführender ist es, sich auf einen möglichen Besuch durch die Aufsicht aktiv vorzubereiten. Denn nur so erlangt man einen wirksamen Hebel, um die Zahl kritischer Feststellungen zu reduzieren.

Womit zu rechnen ist:

  • Prüfungen werden verhältnismäßig kurzfristig angekündigt
  • Innerhalb der Prüfung müssen Anfragen binnen 24 Stunden beantwortet werden
  • Kapazitäten der Mitarbeiter werden während der Prüfung in erheblichen Umfang beansprucht und stehen für Linientätigkeiten nur noch begrenzt zur Verfügung
  • Nach Beginn der Prüfung sind Mängel kaum noch kurzfristig zu „heilen“ – denn notwendige Veränderungen in der Aufbau- und Ablauforganisation benötigen Zeit

Vier Maßnahmen vor der VAIT-Prüfung

Daher gilt es, sich frühzeitig richtig vorzubereiten. Beispielsweise mit folgenden Maßnahmen:

  • Rollen und Verantwortlichkeiten bezüglich der VAIT-Anforderungen im Unternehmen klären oder schärfen und eindeutig zuzuordnen – eischließlich der Eignungsprüfung und Auswahl der richtigen Interviewpartner für die Prüfer
  • Aktuellen Ist-Status in den VAIT-Themengebieten ermitteln, relevante Maßnahmen definieren und allokieren. Wurden beispielsweise die Verantwortung für den IT-Drittbezug in der Organisation verortet und entsprechende zentrale Vorgaben zusätzlich zu den Anforderungen an Ausgliederungen veröffentlicht?
  • Bereichs- und abteilungsübergreifende Prüfungsvorbereitung starten, zum Beispiel zum Thema ISM / IRM oder Ausgliederung – hierzu bietet sich ein „Prüfungsoffice“ als zentrale Verantwortung an.
  • Leistungsbeziehungen sowohl konzernintern als auch zu externen Dienstleistern erheben und angemessen steuern. Dabei nicht die häufig genutzten Cloud Services mit ihren spezifischen Anforderungen vergessen.

Als Instrumente eignen sich VAIT-Quick-Checks oder auch tiefgehende VAIT-Reifegradanalysen. Aus diesen sollten Maßnahmen abgeleitet werden, insbesondere „Quick-Wins“, sowie darauf aufbauend Projekte beziehungsweise Projektpläne erstellt werden.

Eine Investition, die sich auszahlen wird

Wenn Versicherer in Auftrag gegebene IT-Prüfungen der BaFin freiwillig übermitteln, dann wird dies zugunsten der Unternehmen berücksichtigt werden. Insbesondere, wenn eine Prüfung durch die BaFin vorgesehen ist. So stand es zumindest im BaFin Journal 1/2020.

Deshalb empfehlen wir Ihnen, das Heft des Handelns selbst in die Hand zu nehmen. Verschaffen Sie sich einen Überblick über Ihre Schwachstellen, leiten Sie notwendige Maßnahmen ein und beschäftigen Sie Sich mit dem Umsetzungsstand der VAIT in Ihrem Unternehmen – einschließlich der konzerninternen und -externen Dienstleister.

Daniel Wagenknecht
  • Senior Manager, Financial Services
Mehr über meine Themen Nachricht schreiben

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist.