VAIT: So verwalten Versicherer IDV-Anwendungen BaFin-konform

Excel, Access & Co. – für viele Versicherer ist die Individuelle Datenverarbeitung unverzichtbar. Die Zwickmühle: VAIT-Konformität bei Erhalt der IDV-Vorteile.

Unter IDV versteht die Aufsicht im Kontext der VAIT (Versicherungsaufsichtliche Anforderungen an die IT) „von den Fachbereichen selbst entwickelte Anwendungen“. Für Versicherer sind diese eine schnell verfügbare und kostengünstige Alternative zu aufwändigen IT-Systemen – gerade wenn die kurzfristige Lösung eines operativen Problems im Vordergrund steht oder kaufmännische Modelle technisch abgesichert für Berechnungen dienen. Aber auch unternehmenskritische Entscheidungen basieren nicht selten auf den praktischen Helfern.

Anteil an Individueller Datenverarbeitung wächst

Bis 2024 werden laut Gartner 80 Prozent der Technologieprodukte und -dienstleistungen von Personen entwickelt werden, die keine Technologieexperten sind. Bereits heute setzen viele Versicherer mehrere Tausend Excel-Anwendungen mit zum Teil Millionen von Formeln ein – von einfachen Summenformeln bis hin zu komplexen Formelkonstruktionen. Dazu passend prophezeit Lothar Engelke, CIO von Swiss Life Deutschland, dass die IT der Zukunft noch stärker mit dem Business verbunden sein wird als heute. Swiss Life setzt z.B. bewusst auf IDV, die nicht von der IT verantwortet wird. In der Konsequenz kommen hier bereits 40 Prozent der IT-Aufwendungen direkt aus den Fachbereichen.

Die VAIT zwingen zum Management der IDV

Als flexible und leistungsstarke Tools sind IDV-Anwendungen fester Bestandteil in fast allen Versicherungsprozessen. Der Knackpunkt: Ohne eine systematische Qualitätssicherung und eine technische Kontrolle erhöht sich durch den Einsatz von Excel, Access & Co. das Risiko unautorisierter Zugriffe sowie individueller Verarbeitungsfehler. So erscheint es konsequent, dass die BaFin IDV-Anwendungen immer stärker in den Fokus nimmt. Der Grundstein hierfür wurde mit der VAIT-Novelle vom 3. März 2022 gelegt. Diese entfaltet ihre Wirkung für alle Versicherungsunternehmen und Pensionsfonds, die der Aufsicht der BaFin unterstehen und zielt darauf ab, eine verbindliche Basis für das Management der IT zu schaffen.

Insbesondere das Kapitel 7 „IT-Projekte und Anwendungsentwicklung“ der VAIT adressiert dabei IDV-Anwendungen. Unter anderem lassen sich hieraus folgende Anforderungen ableiten:

Gewichtige und schwerwiegende Feststellungen bei der IDV

Mitte letzten Jahres erfüllten laut BaFin 90 Prozent der Versicherer die Anforderungen der VAIT nur teilweise oder gar nicht:

Nicht vollständig erfüllt
10%
Nur teilweise erfüllt
50%
Nicht erfüllt
40%

Konkret auf IDV-Anwendungen bezogen stellte die BaFin u.a. folgende Mängel fest:

Schweregrad der Feststellung Wesentliche Mängel
F3 - F4
  • Begriffsdefinition von IDV zu weit gefasst
  • Fehlende bzw. zu generische Vorgaben zum Umgang mit IDV
  • Fehlendes bzw. unvollständiges IDV-Register
  • Keine Klassifikation der IDV-Anwendungen in Abhängigkeit ihres Risikos
  • Zum Teil mehr als 400 IDV-Anwendungen im Einsatz; angemessene Qualitätssicherung fraglich
    • F0: Keine Mängel
    • F1: Geringfügig; Mängelbeseitigung in überschaubarem Zeitrahmen
    • F2: Mittelschwer; Mängelbeseitigung zeitnah
    • F3: Schwerwiegend; Mängelbeseitigung unverzüglich
    • F4: Schwerwiegend; Mängelbeseitigung unverzüglich

    Vgl.: BaFin „IT-Aufsicht bei Versicherungen und Pensionsfonds“, Stand 21.06.2022

    Mit den Schweregraden F3/F4 sind dies allesamt Mängel, die als gewichtig bzw. schwerwiegend eingestuft werden und umgehend bzw. unverzüglich zu beseitigen sind.

    Das Risiko BaFin-konform managen

    Die BaFin fordert, dass Versicherer das mit IDV-Anwendungen verbundene operationelle Risiko auf ein beherrschbares Risiko minimieren. Um diese regulatorische VAIT-Vorgabe zu erfüllen, ist es notwendig, einen Steuerungs- und Kontrollprozess zu etablieren, der eine lückenlose Identifikation, fachliche Bewertung, technische Analyse sowie Dokumentation und Überwachung der IDV – sowohl bei Neuerstellungen als auch Änderungen – ermöglicht.

    1. Identifikation & Einwertung: Ab wann gilt eine IDV als eine IDV?

    Nicht jede Excel-Datei ist auch gleich eine Individuelle Datenverarbeitung im Kontext der VAIT-Novelle. IDV-Anwendungen erlangen in erster Linie dann eine aufsichtsrechtliche Relevanz, wenn – durch Überprüfung und unter Hinzuziehung bestimmter Kriterien – z.B. die Einwertung einer Datei oder eines Prozesses nach Schutzbedarf in bestimmte Sicherheitsstufen und Kritikalitäten erfolgt oder einer oder mehrere der nachfolgenden Aspekte zutreffen:

    2. Dokumentation

    Die Dokumentationspflichten einer IDV sind in Umfang und Tiefe abhängig

    • vom Schutzbedarf,
    • von der Komplexität der Programmierung,
    • von der fachlichen Rolle und
    • vom zugeordneten Prozess.

    3. Überwachung & Kontrolle

    Mit Blick auf die VAIT sollte eine neu erstellte IDV automatisch registriert und Änderungen an bestehenden Anwendungen per Änderungsverfolgung dokumentiert werden – inkl. Hinweis an den/die Autor/in bzw. den/die Bearbeiter/in, der entscheiden muss, ob es sich um eine wesentliche oder unwesentliche Datei handelt. Von dieser Klassifizierung hängen die nächsten Schritte ab – sprich Test, Freigabe und Versionierung sowie die Aufnahme in das zentrale IDV-Register.

    Je nach IDV sind unterschiedliche Anforderungen an die Anwendung zu berücksichtigen. Mit einer Softwarelösung, welche die oben genannten Punkte gewährleistet, sind Versicherer optimal aufgestellt, um beim Thema IDV die Balance zwischen operationellen Risiken, Wirtschaftlichkeit und Erfüllung der VAIT-Vorgaben zu halten. Gleichzeitig werden durch Prozesskonformität Aufwände stark reduziert und individuelle Fehler weitestgehend vermieden. Der Anwendende wird gut unterstützt, von manuellen Nachhaltungspflichten entlastet und kann sich auf sein Tagesgeschäft konzentrieren. 

    VAIT-konformer Umgang mit IDV-Anwendungen

    Der agentes Office Process Manager (aOPM) ist eine Lösung, mit der Individuelle Datenverarbeitung systematisch erkannt und überwacht werden kann. Sie wird nach versicherungsfachlichen Aspekten und Risikokriterien bewertet, dokumentiert, freigegeben und versioniert. Alle IDV-Dateien können – unabhängig von ihrem Speicherort – registriert, analysiert und katalogisiert werden. Sie erhalten dadurch einen Überblick über den aktuellen Status quo, der in einem zentralen IDV-Register konsolidiert wird. Über ein Webportal können Sie jederzeit eine Auswertung aller erfassten IDV aufrufen. Ein Rollen- und Rechtekonzept ist integriert und sorgt mit seinen Berechtigungen für die Steuerung des fachlichen Workflows.
    Tipp!

    YouTube

    Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
    Mehr erfahren

    Video laden

    „Eine intensive Auseinandersetzung mit den VAIT ist für Versicherer unerlässlich. Dabei bewegen sie sich im Spannungsfeld von Angemessenheit und Wirtschaftlichkeit. Zumal die zuletzt veröffentlichen Änderungen die Dokumentations- und Kontrollanforderungen an die IT nochmals verschärft haben. Parallel dazu sind sie im Zuge der fortschreitenden Digitalisierung einem massiven Veränderungsdruck ausgesetzt. Das führt nicht zuletzt zu Kapazitätsengpässen, welche das Erfüllen der Regulatorik zusätzlich erschweren. Zumal wir in der Praxis feststellen, dass mit Blick auf die Anforderungen der VAIT nur selten eine zentrale Verantwortlichkeit existiert – gerade beim Thema IDV, das in erster Linie bei den Fachbereichen angesiedelt ist, stoßen wir immer wieder auf große Fragezeichen. Umso wichtiger ist hier, mit entsprechenden Softwarelösungen eine solide und VAIT-konforme Basis zu schaffen.“

    Jürgen Gerhard Ripp, Leiter der PASS Business Unit Insurance


    Bildquelle: Shutterstock

    Schreibe einen Kommentar