Seit ihrer Erstveröffentlichung 2018 setzt die VAIT Standards für einen sicheren IT-Betrieb. Sie entfaltet ihre Wirkung für alle Versicherungsunternehmen und Pensionsfonds, die der Aufsicht der BaFin unterstehen und zielt darauf ab, eine verbindliche Basis für das Management der IT zu schaffen. Zuletzt konkretisiert wurden die Anforderungen durch die VAIT-Novelle vom 3. März 2022. Im Dezember des gleichen Jahres kündigte die BaFin dann erstmals eine neue Gangart bei der Beurteilung der IT an. Das bestätigte Frank Grund, Chef der Versicherungsaufsicht bei der BaFin, in einem Interview mit der Süddeutschen Zeitung im Februar 2023: Die Aufsicht lege großen Wert darauf, dass Sicherheitsmaßnahmen auf der Höhe der Zeit seien. Sie habe einige Prüfungen vorgenommen und das Ergebnis sei recht ernüchternd.
Den Worten folgen Taten
Wie genau die BaFin die Umsetzung der Anforderungen aus der VAIT nimmt, zeigte sich im Frühjahr 2023. Nachdem bereits im März durchsickerte, dass die IT der Allianz SE von der Finanzaufsicht als mangelhaft eingestuft wurde, traf es im Mai die AXA Krankenversicherung Aktiengesellschaft ganz offiziell: Die BaFin setzte aufgrund schwerwiegender Mängel in der IT-Geschäftsorganisation einen Kapitalaufschlag auf die Solvabilitätskapitalanforderung des Versicherungsunternehmens fest. Dadurch soll – bis zu ihrer Beseitigung – aus den Mängeln resultierenden Risiken begegnet werden.
Exkurs: Solvabilität
Mit diesem Vorgehen stellte die BaFin erstmals öffentlich eine Versicherung an den Pranger. Und wird das vermutlich fortsetzen – laut Medieninformationen drohen sowohl der Allianz als auch noch einem weiteren Versicherer Kapitalaufschläge. Versicherungen sollten sich daher selbstkritisch fragen, wie sie hinsichtlich der Erfüllung der VAIT-Anforderungen aufgestellt sind.
Laut eines Berichts des Handelsblatts habe sich die BaFin mit der Allianz geeinigt und die Aufsicht sähe aktuell von weiteren Maßnahmen ab. Die Behörde kontrolliere die Aufarbeitung der Mängel aber eng.
Mängel beim Internen Kontrollsystem (IKS)
Mit Blick auf die IT-Systeme der Versicherer sieht die BaFin laut einem Sprecher vor allem im Risikomanagement, im Berechtigungs- und Ausgliederungsmanagement sowie in der Geschäftsorganisation gravierende Mängel. Konkretisieren lässt sich diese Aussage durch den Rückgriff auf eine BaFin-Präsentation aus Mitte letzten Jahres. Demnach erfüllen 90 Prozent der geprüften Versicherer die Anforderungen der VAIT nur teilweise oder gar nicht:
Geht man nun ins Detail und analysiert die Feststellungen in den einzelnen Prüfgebieten, fällt auf, dass ein erheblicher Prozentsatz auf einem mangelhaften Internen Kontrollsystem (IKS) fußt:
| Bereich | Feststellungen |
|---|---|
| IT-Strategie | Die Ausgliederung von Dienstleistungen wird nicht berücksichtigt |
| IT-Governance | Fehlende Richtlinien, Prozessbeschreibungen, Arbeitsanweisungen etc. Veraltete oder längere Zeit nicht überprüfte Dokumente Verweis auf nicht mehr aktuelle Versionsstände von Regelungen |
| Informationsrisikomanagement | Fehlende, lückenhafte oder veraltete Übersicht über den eigenen Informationsverbund > keine ausreichende Berücksichtigung aller risikorelevanten IT-Assets im Risikomanagement Keine Übersicht über die aus Risikosicht kritischen IT-Assets aufgrund fehlender bzw. unzureichender Schutzbedarfsbestimmung Keine Festlegung der Soll-Maßnahmen auf Basis der Schutzbedarfe > nur wenig zielgerichtete Risikosteuerung Auf sinnvolle Sicherheitsmaßnahmen wird verzichtet, ohne das daraus resultierende Risiko zu analysieren. Das Risiko aus nicht oder nur unvollständig umgesetzten Soll-Maßnahmen sowie das verbleibende Restrisiko werden nicht analysiert. |
| Ausgliederung von IT-Dienstleistungen | Fehlende bzw. inhaltlich unzureichende Risikoanalysen im Vorfeld der Ausgliederung (gilt auch für den sonstigen Fremdbezug von IT-Dienstleistungen) Keine vollständige Übersicht über die Ausgliederung von IT-Dienstleistungen und deren Weiterverlagerung Einstufung und Bewertung von Risiken wurden zum Teil ohne konkrete Prozessbeschreibung oder Bewertungskriterien vorgenommen. Unzureichende Ausgliederungsüberwachung |
IKS Software: VAIT methodisch und effizient umsetzen
Als IT-Dienstleister zahlreicher Finanzdienstleistungsunternehmen betreffen uns die meisten Anforderungen der BaFin ebenso wie unsere Auftraggeber. Da wir ein Unternehmen sind, das seine Wurzeln in der Softwareentwicklung hat, sind wir die Herausforderungen nach dem für uns gewohnten und bewährten Muster angegangen: Nach einem guten Verständnis der regulatorischen Anforderungen, der Funktionsweise eines Internen Kontrollsystems und der eigenen Prozesse haben wir eine Software spezifiziert, die möglichst alle Beteiligten bei ihren Aufgaben unterstützt – von der IT-Abteilung bis hin zu Wirtschaftsprüfern. Diese Software haben wir umgesetzt, qualitätsgesichert und in den operativen Betrieb unserer IT-Dienstleistungen eingeführt. Heute bildet die IKS Software PASS GRC Suite den zentralen Kontrollrahmen für alle Anforderungen und Soll-Maßnahmen im Zusammenhang mit von unseren Kunden beauftragten IT-Services.
Eine IKS Software hilft im Kontext der VAIT…
- … aufsichtsrechtliche Verstöße zu vermeiden.
- … sie gegebenenfalls rechtzeitig zu identifizieren.
- … eine übergeordnete Kontrollebene für die Umsetzung zu schaffen.
- … eine zentrale Ablage und Pflege von Nachweisen sicherzustellen.
Das Beispiel PASS GRC Suite
Das Risikomanagement-Modul der IKS Software fragt zyklisch Neubewertungen bzw. den Maßnahmenstatus bei den zugewiesenen Ownern an und liefert dem Management jede gewünschte aggregierte Darstellung. Mit einem Audit-Modul steuert die Software festgelegte Prüfungen der Kontrollen, erinnert Prüfende rechtzeitig an ihre Aktivitäten, erlaubt Einblicke in Ergebnisse früherer Prüfungen und ermöglicht selbst externen Prüfenden festgelegte Einblicke und Interaktionen. Ein Policy-Modul integriert schließlich noch die Versionierung von Richtlinien, Leitlinien, Arbeitsanweisungen usw. und trägt dafür Sorge, dass regelmäßige Reviews durch die Verantwortlichen nicht vergessen gehen.
Mit der PASS GRC Suite das Interne Kontrollsystem managen
Mit der neuesten Version integrieren wir schließlich noch das Auslagerungsmanagement. Es können sowohl Auslagerungsnehmer als auch Auslagerungsgeber mit den zugehörigen Verträgen erfasst und durch eine Verknüpfung mit dem Risikomanagement-Modul die Risiken der Auslagerung bewertet sowie durch eine Verknüpfung mit dem Audit-Modul regelmäßige Dienstleisterprüfungen gesteuert werden. Mit Hilfe des integrierten Berichtsgenerators lassen sich schließlich modulübergreifende Auslagerungsberichte erstellen.
Das könnte Sie auch interessieren: VAIT-Konformität bei Erhalt der IDV-Vorteile?
Excel, Access & Co. – die Individuelle Datenverarbeitung ist für viele Versicherungen unverzichtbar. So verwalten Versicherer IDV-Anwendungen BaFin-konform.
Autoren: Jürgen Gerhard Ripp, Leiter des PASS Business Unit Insurance und Stefan Luckhaus, Leiter der PASS Innenrevision
Bildquelle: Shutterstock
