VAIT

Versicherungsaufsichtliche Anforderungen an die IT

Herausforderungen

Outsourcing, Outtasking, Out-Servicing, Managed Services usw. sind seit Jahren integrale Bestandteile im unternehmerischen Kontext. Die Vorteile unternehmenseigene Tätigkeiten, Funktionen, Anwendungen oder ganze Geschäftsbereiche an einen Dienstleister auszugliedern sind vielfältig. In strategischer Hinsicht versetzt die Ausgliederung von Funktionen und Tätigkeiten ein Unternehmen in die Lage, sich stärker auf die eigenen Kernkompetenzen zu fokussieren. Gleichzeitig werden, durch das Outsourcing an einen spezialisierten, externen (oder gruppeninternen) Dienstleister, Zeit und Ressourcen raubende, unspezialisierte Tätigkeiten und Funktionen abgegeben, wodurch eine Optimierung der Betriebsabläufe bei gleichzeitiger Kostensenkung erreicht wird.
Gleichwohl kann das Outsourcing von unternehmenseigenen Tätigkeiten, Funktionen, Anwendungen oder ganzer Geschäftsbereiche unternehmerische Risiken, wie Knowhow-Verlust, Dienstleisterabhängigkeit (Lock-in-Effekt), einen hohen kommunikativen und koordinatorischen Aufwand, eine nachhaltige Verschlechterung des Betriebsklimas durch Stellenabbau oder Minderleistungen des Dienstleisters provozieren.  

Insbesondere im stark regulierten Finanz- und Versicherungssektor stellt die Auslagerung (Finanzsektor) oder Ausgliederung (Versicherungssektor) von Tätigkeiten, Funktionen, Anwendungen oder ganzen Geschäftsbereichen eine große Hürde für Unternehmen dar.
Aus Sicht der ausgliedernden Versicherungsunternehmen, die Gegenstand dieses Whitepapers sind, besteht die Schwierigkeit in einer anforderungskonformen Umsetzung der bestehenden, gesetzlichen europäischen und nationalen Richtlinien. Dies resultiert nicht zuletzt aus der Interdependenz der rechtlichen Verordnungen. Die Überwachung von und ggf. strafrechtliche Meldung von Verstößen gegen regulatorische Richtlinien durch Solvency II-Unternehmen obliegt der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin).  

Im Zusammenhang mit der anforderungskonformen Ausgliederung von Tätigkeiten, Funktionen, Anwendungen oder Geschäftsbereichen betrachtet die BaFin für deutsche Versicherungsunternehmen mindestens die nachfolgenden, aufsichtsrechtlichen Vorschriften als verpflichtend: 

  • Versicherungsaufsichtsgesetz (VAG) 
  • Delegierte Verordnung (EU) 2015/35 (DVO) – für Solvency II-Unternehmen  
  • Leitlinien zum Governance-System (EIOPA-BoS-14/253 DE) 
  • Leitlinien zum Outsourcing an Cloud-Anbieter (EIOPA-BoS-20/002 DE) 
  • Rundschreiben 2/2017 (VA) – Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo) 
  • Rundschreiben 10/2018 – Versicherungsaufsichtliche Anforderungen an die IT (VAIT) in der Fassung vom 03.03.2022 

Für die anforderungskonforme Realisierung eines Ausgliederungsvorhabens müssen die oben genannten Vorschriften und Anforderungen erst prozesshaft übersetzt werden. So lässt sich ein Ausgliederungsvorhaben in 4 Phasen unterteilen:  

Zusammenfassung VAIT (Versicherungsaufsichtliche Anforderungen)

Unternehmen im regulierten Umfeld stehen aufgrund der Schwierigkeit einer anforderungskonformen Ausgliederungsumsetzung oftmals vor großen Hürden, welche sich aus der Vielzahl verpflichtender, nationaler und internationaler gesetzlicher Richtlinien ergibt. 
Für eine anforderungskonforme Umsetzung von IT-Ausgliederungsvorhaben empfiehlt sich ein vierphasiges Vorgehen (Anforderungserhebung und Bewertungsphase, Risikoanalyse und Delegationen, Umsetzungs- und Steuerungsphase, Revisionsphase). 

Während in der ersten Phase u. a. allgemeine Risiken von Ausgliederungen bestimmt werden und eine Anforderungserhebung und -bewertung des Ausgliederungssachverhalts erstellt wird, entfällt auf die zweite Phase die Risikoanalyse des IT-Ausgliederungsvorhabens. Diese erfolgt nach dem Proportionalitätsprinzip. Dementsprechend sind die Anforderungen an die Ausgestaltung der Strukturen, IT-Systeme oder Prozesse bei Unternehmen mit einem hohen Risikoprofil aufwendiger (einzuschätzen) als bei Unternehmen mit einem geringen Risikoprofil. 

In der Umsetzung- und Steuerungsphase vollzieht sich die eigentliche IT-Ausgliederung und die Überführung in den Regelbetrieb. Diesem sind jedoch eine Dienstleisterüberprüfung sowie die Vertragsgestaltung vorgelagert. Die Erkenntnisse aus der zuvor durchgeführten Risikoanalyse sind bei der Vertragsgestaltung entsprechend zu berücksichtigen und Basis für die Steuerung des gewählten Dienstleisters.  

In der Revisionsphase wird der IT-Ausgliederungsgegenstand kontinuierlich durch die Interne Revision überwacht und bei eintretenden Veränderungen der Charakter der Ausgliederung bewertet (Feststellung des Wesentlichkeitscharakters). 

Weitere Artikel

VAIT - Anforderungen an die IT
@putilov_denis - stock.adobe.com