Fokusthema: Regulatorik

Versicherungsaufsichtliche Anforderungen an die IT (VAIT)

Mit den Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) (Rundschreiben 10/2018) konkretisiert die BaFin die Mindestanforderungen an die Geschäftsorganisation (MaGo) sowie die Anforderungen des Versicherungsaufsichtsgesetzes (VAG) hinsichtlich der vorzuhaltenden Verfahren und Maßnahmen für das Management der IT-Sicherheit, der IT-Risiken und der IT-Prozesse.

Das Rundschreiben ist an alle nach §1 Abs. 1 VAG der Aufsicht unterfallenden Unternehmen adressiert. Darunter fallen Erst- und Rückversicherungsunternehmen und Gruppen von Erst- oder Rück-versicherungen, bei denen die BaFin die für die Gruppenaufsicht zuständige Behörde ist.

Die VAIT geben einen Rahmen für den angemessenen Einsatz der Informationstechnik (IT) innerhalb der Aufbau- und Ablauforganisation der Unternehmen vor und adressieren die nachfolgenden acht Anforderungsbereiche:

  1. IT-Strategie
  2. IT-Governance
  3. Informationsrisikomanagement
  4. Informationssicherheitsmanagement
  5. Benutzerberechtigungsmanagement
  6. IT-Projekte und Anwendungsentwicklung
  7. IT-Betrieb
  8. Auslagerungen und sonstige IT-Dienstleistungen

Im Folgenden werden die Anforderungsbereiche IT-Strategie, IT-Governance, Informationsrisikomanagement, Informationssicherheitsmanagement sowie mögliche Prüfungsansätze der internen Revision in den genannten Bereichen näher beleuchtet.

IT-Strategie

Die IT-Strategie ist das zentrale Instrument zur Steuerung der IT eines Unternehmens. Sie erzeugt eine klare Zielvorgabe sowie Rahmenbedingungen für den IT-Einsatz im Unternehmen und ist dabei an der Geschäftsstrategie auszurichten.

Eine an den Vorgaben der VAIT ausgerichtete IT-Strategie muss im Wesentlichen folgende Themenfelder adressieren

  • Strategische Entwicklung der IT-Aufbau- und Ablauforganisation (Beschreibung der Rolle, Positionierung, Selbstverständnis der IT)

  • Auslagerungen und sonstige IT-Dienstleistungen (dedizierte Sourcing-Strategie ist abhängig von der Komplexität)

  • Festlegung auf Standards, an denen sich das Unternehmen ausrichtet

  • Zuständigkeit und Einbindung der Informationssicherheit (Beschreibung der Bedeutung der Informationssicherheit sowie deren Einbettung in die Fachbereiche und Zusammenarbeit mit den IT-Dienstleistern)

  • Strategische Entwicklung der IT-Architektur (Ausarbeitung eines Zielbildes der IT-Architektur)

  • IT-Notfallmanagement

Dies erleichtert die darauffolgende operative Umsetzung der IT-Strategie. Das TOM beinhaltet verschiedene Perspektiven wie Governance, Prozesse und Organisation und bildet somit auch den Rahmen für die weiteren Aspekte der in der VAIT definierten Themenfelder.

Die Themenfelder der VAIT sind zwingend in der Ausarbeitung der IT-Strategie zu berücksichtigen. Dabei kann es herausfordernd sein, die generischen Anforderungen der VAIT auf die konkrete Unternehmenssituation zu adaptieren. Hierbei unterstützen wir Sie mit unserer langjährigen Erfahrung im Bereich IT-Strategie, insbesondere auch im regulierten Umfeld. Wir verfügen über Referenzen und Vorgehensmodelle für die Umsetzung eines TOM speziell im Versicherungsumfeld.

IT-Governance

Die IT-Governance beschreibt die Gesamtheit der Vorgaben, Abläufe und Prozesse eines Unternehmens, die sicherstellen, dass die IT den internen und externen Vorgaben (u.a. Geschäftsstrategie, gesetzliche Regelungen etc.) entspricht.  Der IT-Governance wird bei der Umsetzung der VAIT eine zentrale Rolle zugesprochen.

Um die Ziele und Compliance-Vorgaben des Unternehmens bestmöglich zu erreichen, sollte die IT-Governance gemäß den VAIT mindestens die folgenden Aspekte umfassen:

  • Regelungen zur IT-Aufbauorganisation und -Ablauforganisation
  • Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der Daten
  • Steuerung des Betriebes und Weiterentwicklung der IT-Systeme
  • Maßnahmen zur angemessenen Personalausstattung
  • Maßnahmen zur Gewährleistung einer angemessenen technisch-organisatorischen Ausstattung

Die Regelungen der IT-Governance sind aus der IT-Strategie abzuleiten und entsprechend mit einer hohen Wirksamkeit umzusetzen. Die Entwicklung von IT-Strategie und IT-Governance sollte daher immer abgestimmt unter der Gesamtverantwortung der Geschäftsführung erfolgen.

Die konkrete Ausgestaltung richtet sich nach der Planung, Steuerung und Überführung der bestehenden Aufbau- und Ablauforganisation in das Zielbild. Mit dieser Überführung sind auch die kontinuierliche Weiterentwicklung sowie die Berücksichtigung regulatorischer Veränderungen sicherzustellen. Hierfür sind fortwährende Überprüfungs- und Anpassungsmaßnahmen der IT-Governance zu implementieren.  Seitens Q_PERIOR unterstützen wir unsere Kunden daher nicht nur bei der Einführung, sondern auch bei der Flexibilisierung der IT-Governance. Gemeinsam mit unseren Kunden richten wir die Organisation und die Prozesse für eine schnelle und effiziente Reaktion auf zukünftige Anforderungen aus.

Informationsrisikomanagement (IT-Risikomanagement)

Das Informationsrisikomanagement oder IT-Risikomanagement im Sinne der VAIT umfasst im Wesentlichen die Identifikation, Bewertung, Steuerung, Überwachung und Berichterstattung von IT-Risiken auf allen Unternehmensebenen. Ziel ist es, wesentliche IT-Risiken transparent zu machen und mit geeigneten risikoreduzierenden Maßnahmen bzw. Kontrollen und/ oder Notfallplänen zu versehen.

Die Umsetzung eines funktionierenden IT-Risikomanagements ist essenziell für das Unternehmen, da die IT für nahezu alle Geschäftstätigkeiten genutzt wird und somit das Rückgrat des Unternehmens bildet. Die IT wird jedoch zunehmend komplexer und damit auch fehleranfälliger. Die Fehleranfälligkeit führt auch dazu, dass sowohl interne als auch externe Bedrohungen verstärkt auf die IT einwirken können.

Um diesen Bedrohungen entgegenzuwirken, fordern die VAIT zu Recht, dass die mit dem Management der IT-Risiken verbundenen Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen und Kommunikationswege angemessen definiert und aufeinander abgestimmt werden. Im Rahmen der einzurichtenden Identifikations-, Bewertungs-, Steuerungs- und Überwachungsprozesse sind geeignete IT-Risikokriterien, der entsprechende Schutzbedarf, die daraus abgeleiteten Schutzmaßnahmen für den IT-Betrieb sowie Maßnahmen zur Risikobehandlung der verbliebenen Restrisiken festzulegen.

Zu den Herausforderungen für Unternehmen zählen:

  • eine kontinuierlich durchzuführende Risikoanalyse basierend auf den zuvor festgelegten IT-Risikokriterien
  • Koordination, Steuerung, Überwachung und Dokumentation von risikoreduzierenden Maßnahmen und Kontrollen
  • Genehmigung der Ergebnisse der Risikoanalyse und deren Überführung in den Prozess des Managements der operationellen Risiken (OpRisk)

Dies impliziert, dass wesentliche IT-Risiken und Schlüsselkontrollen im Rahmen des OpRisk-Managements in das interne Kontrollsystem (IKS) einfließen.

So können Synergien gehoben, Aufwände gesenkt und Ergebnisse vergleichbar gemacht werden. Mit unserer Expertise aus zahlreichen Konzeptions- und Umsetzungsprojekten unterstützen wir Sie gerne bei der Implementierung bzw. Optimierung und Verknüpfung Ihrer Methoden und Assessments im Unternehmen.

Informationssicherheitsmanagement

Die Informationssicherheit und damit das Informationssicherheitsmanagement ist ein wesentlicher Bestandteil der Geschäftspolitik eines Unternehmens. Informationen und die zur Verarbeitung von Informationen eingesetzten Prozesse und Systeme sind hier als grundlegende Werte zu nennen. Zum Schutz dieser Werte müssen Sicherheit, Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität von Daten gewährleistet werden.

Die meisten Informationen werden heutzutage in wesentlichem Umfang mit IT erstellt, gespeichert, transportiert oder weiterverarbeitet. Eine zuverlässig funktionierende Informationsverarbeitung und ein angemessenes Informationssicherheitsmanagement sind daher unerlässlich.

Das Informationssicherheitsmanagement gemäß den VAIT macht Vorgaben zur Informationssicherheit, definiert entsprechende Prozesse, steuert deren Umsetzung und folgt dabei einem fortlaufenden Prozess, der die Phasen Planung, Umsetzung, Erfolgskontrolle sowie Optimierung umfasst. Die wesentlichen Kernanforderungen der VAIT für das Informationssicherheitsmanagement sind:

  • Erstellung einer schriftlichen Informationssicherheitsleitlinie. Diese hat im Einklang mit den Strategien des Unternehmens zu stehen und ist durch die Geschäftsleitung zu beschließen und innerhalb des Unternehmens angemessen zu kommunizieren.

  • Definition von konkretisierenden Informationssicherheitsrichtlinien und Informationssicherheitsprozessen mit den Teilprozessen Identifizierung, Schutz, Entdeckung, Reaktion und Wiederherstellung auf Basis der Informationssicherheitsleitlinie.

  • Einrichtung der Funktion des Informationssicherheitsbeauftragten im Unternehmen. Diese überwachende Funktion stellt innerhalb des Unternehmens und gegenüber Dritten sicher, dass die in der IT-Strategie, der Informationssicherheitsleitlinie und den Informationssicherheitsrichtlinien des Unternehmens niedergelegten Ziele und Maßnahmen transparent gemacht und deren Einhaltung überprüft und überwacht werden.

Die Informationssicherheitsprozesse dienen vor allem der Erreichung der definierten Schutzziele. Das umfasst auch die Vorbeugung vor möglichen Informationssicherheitsvorfällen sowie die Identifikation und angemessene Reaktion auf bereits eingetretene Informationssicherheitsvorfälle.

Q_PERIOR unterstützt Sie bei der Definition einer Strategie zur Vorbeugung von Informationssicherheitsvorfällen und evaluiert gemeinsam mit Ihnen Ihre Prozesse zur Informationssicherheit. Auf Wunsch begleiten wir Sie auf Ihrem Weg zur ISMS-Zertifizierung und schaffen in Ihrem Unternehmen durch Sensibilisierungsschulungen ein erhöhtes Bewusstsein für die Informationssicherheit.

Mögliche Prüfgegenstände der internen Revision

Die VAIT geben den aufsichtlichen Rahmen an die IT eines Versicherungsunternehmens vor und sind daher ein geeigneter Maßstab für die Prüfung der internen Revision. Die explizite Nennung von Themen hat Auswirkungen auf den risikoorientierten Prüfungsansatz und die inhaltliche Ausrichtung der Prüfungen durch die interne Revision.

Daraus leiten sich entsprechende Fragestellungen ab, wie ein Audit Universe nach den VAIT aussehen bzw. welche Inhalte eine Prüfung umfassen muss. Beispielhaft werden nachfolgend einige sich aus der VAIT ableitende Prüfungsgegenstände dargestellt:

IT-Strategie

  • Ableitung aus Unternehmensstrategie

  • IT-Architektur

  • IT-Planung

  • Entwicklung der IT-Aufbauorganisation und -Ablauforganisation

  • Auslagerungen von IT-Dienstleistungen

IT-Governance

  • Aufbauorganisation

  • Ablauforganisation inkl. Abstimmung mit Corporate Governance

Informationsrisikomanagement (IT-Risikomanagement)

  • Regelungen zum Informationsrisikomanagement

  • Risikomanagementsystem inkl. Risikoinventur

  • Risikomanagementbericht

  • Einbindung in das zentrale Risikomanagementsystem bzw. IKS

Informationssicherheitsmanagement

  • Informationssicherheitsleitlinie, Informationssicherheitsrichtlinien und Informationssicherheitsprozesse

  • Informationssicherheitsbeauftragter und mögliche Interessenskonflikte

  • Informationssicherheitsbericht

  • Informationssicherheitsvorfälle und Auswirkungen auf die Informationssicherheit

Q_PERIOR unterstützt Sie bei der Planung und Durchführung von IT-Prüfungen unter Berücksichtigung der Anforderungen aus den VAIT.

Regelungstiefe und -umfang der VAIT ist nicht abschließend

Mit der Konkretisierung der bestehenden Gesetzesgrundlagen durch die VAIT möchte die BaFin der wachsenden Bedeutung der IT und den damit verbundenen steigenden IT-Risiken Rechnung tragen. Die IT-Risiken sollen dabei transparent und steuerbar gemacht und das IT-Risikobewusstsein in den Unternehmen und gegenüber deren IT-Dienstleistern erhöht werden.

Das Erfordernis der Schaffung von Transparenz über die Risikosituation und die Auseinandersetzung mit den IT-Risiken auf allen Unternehmensebenen zieht sich durch alle Anforderungsbereiche der VAIT und ist integraler Bestandteil der einzelnen Anforderungen.

Die prinzipienorientierten Anforderungen stellen jedoch keinen vollständigen Anforderungskatalog dar und sind deshalb nach Regelungstiefe und -umfang nicht abschließend. Jedes Unternehmen bleibt folglich auch jenseits der Konkretisierungen durch die VAIT verpflichtet, auf gängige IT-Standards abzustellen sowie den Stand der Technik zu berücksichtigen.

Kernziele und Kernaspekte der VAIT

Jetzt Lesen
Jetzt Lesen

Synopse BAIT vs. VAIT

Jetzt Lesen
Jetzt Lesen

Weitere Fokusthemen

WIR SIND FÜR SIE DA!

Mit Q_PERIOR steht Ihnen ein starker Partner zur Seite.
Wir freuen uns auf Ihre Herausforderung!

28. September 2018|