27.09.2023

VAIT-Readiness Assessment

Ihr Schlüssel zur sicheren IT-Organisation

Regulatorische Herausforderungen der VAIT für Versicherungsunternehmen

Die Prüfungen der BaFin sind für Versicherungsunternehmen mit erheblichem Aufwand verbunden und bergen dadurch ein hohes regulatorisches Risiko. Oft enden sie mit umfangreichen Änderungsforderungen, die unter Zeitdruck und mit intensivem Ressourceneinsatz umgesetzt werden müssen. So wurden bereits Strafen in Form von Kapitalaufschlägen zur Deckung von Risiken verhängt, die auf Mängel in der Geschäftsorganisation zurückzuführen sind. Die BaFin kann diese Maßnahmen gegenüber Solvency II-beaufsichtigten Versicherern ergreifen, wenn die Umsetzung der aufsichtlichen Anforderungen als unzureichend erachtet wird.

Insbesondere seit dem Wirecard-Skandal hat die BaFin ihre Audit-Ressourcen verstärkt und prüft nun auch IT-Organisationen intensiver und häufiger. Durch proaktive Maßnahmen wie Mock-Audits kann die Belastung während eines BaFin-Audits erheblich reduziert und das Ergebnis signifikant verbessert werden. Hierbei sollte die Umsetzung der Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) im Fokus stehen.

Die Hauptaspekte der VAIT

Die aktuelle VAIT-Novelle, in Kraft seit dem 3. März 2022, konkretisiert die gesetzlichen Anforderungen des Versicherungsaufsichtsgesetzes (VAG), §§ 23-32. Mit dem Ziel einer zuverlässigen Ausgestaltung der IT-Organisation legt sie den Rahmen für die technische und organisatorische Ausstattung der Unternehmen fest. Die VAIT umfasst elf Kapitel, wie in der folgenden Abbildung dargestellt:

Herausforderungen für Versicherungen

Die Prüfung der eigenen IT-Organisation auf VAIT-Konformität und die Umsetzung von Änderungsforderungen nach einem Audit stellen in der Regel eine erhebliche Mehraufwände dar. Die VAIT ist nicht immer auf operativer Ebene eindeutig definiert und lässt Raum für Interpretation. In vielen Unternehmen fehlt es an Erfahrung mit VAIT-Audits, was das Risiko einer fehlerhaften Auslegung der oft vage formulierten Anforderungen erhöht. Selbst bei sorgfältiger Planung, angemessener Ressourcenzuweisung und proaktivem Ansatz kann eine umfassende Umsetzung nicht garantiert werden.

Um die Durchführung eines Audits und die nachfolgende Umsetzung der Anforderungen so reibungslos und kontrolliert wie möglich zu gestalten, ist es empfehlenswert, frühzeitig eine interne Untersuchung durchzuführen. Diese klärt, ob die IT-Organisation den VAIT-Anforderungen entspricht. Intero Consulting hat bereits erfolgreich solche Assessments für verschiedene Kunden durchgeführt.

Unser Expertenteam steht Ihnen zur Seite, um Diskrepanzen zwischen Ihrer Organisation und den gesetzlichen Vorgaben aufzudecken. Gemeinsam mit Ihrem Team analysieren wir die Einhaltung der Anforderungen und stehen Ihnen als Sparringspartner zur Verfügung.

 

Unser Assessment umfasst fünf aufeinanderfolgende Phasen:

  1. Setup: Im ersten Schritt werden Verantwortlichkeiten festgelegt, die Projektorganisation aufgebaut und ein gemeinsamer Kick-Off mit allen beteiligten Parteien durchgeführt.
  2. Self-Assessment: Ihre Compliance-Experten bewerten den Ist-Zustand anhand eines von uns klar definierten Fragekatalogs zu den VAIT-Anforderungen, um so eine Ersteinschätzung der Ist-Soll-Diskrepanzen zu generieren. Die Ergebnisse werden im Intero Consulting VAIT-Tool dokumentiert.
  3. Interview-Phase: Die zuvor durchgeführte Ersteinschätzung (Phase 2) wird von unserem Team durch Rücksprachen und Diskussionen mit Ihren Compliance-Experten validiert. Dadurch können wir auch dazu beitragen, das Verständnis und Bewusstsein für Inhalt und Wichtigkeit der aufsichtlichen Anforderungen in Ihrer Organisation zu verbreiten.
  4. Ergebnis-Phase: Die Assessment-Ergebnisse werden finalisiert und präsentiert. Zudem wird ein Mitigationsplan mit den notwendigen Schritten für die Umsetzung entwickelt.
  5. Umsetzungs-Phase (Optional): In dieser Phase unterstützen wir Sie bei der Umsetzung des Mitigationsplans, um sicherzustellen, dass die erforderlichen Anpassungen erfolgreich implementiert werden.
  6.  

Durch diese strukturierte Prüfung können Sie von unseren Erfahrungen bei der versicherungsseitigen Begleitung von diversen Mock- und Bafin-VAIT-Audits und den damit verbundenen Änderungen profitieren. Die zentralen Vorteile des Intero Consulting VAIT Readiness Assessments haben wir hier nochmals für Sie zusammengefasst:

  • Strukturierte VAIT-Erfüllungsanalyse
    • Detaillierte Evaluation der Differenzen zwischen Ist- und Soll-Zustand und Herausarbeiten von Schwachstellen.
    • Prüfung der Evidenzen-Verfügbarkeit, indem vorhandene Richtlinien, Leitlinien, Dokumentationen etc. evaluiert werden um Lücken aufzudecken und Aufbau eines Repositories.
  • Professionelle Audit-Vorbereitung
    • Training für effektive interne und externe Kommunikation für eine klare, präzise und rechtzeitige Bereitstellung der Informationen u.a. im Audit-Fall.
    • Erarbeitung eines Prozesses incl. Definition von Verantwortlichkeiten für die Bereitstellung von Informationen bei regulatorischen Audits jeder Art.
  • Sensibilisierung der Organisation für aufsichtliche Anforderungen
    • Verständnis der Anforderungen schaffen über alle geltenden und relevanten Regulierungen und Vorschriften mit Bezug auf den operativen Alltag informiert wird.
    • Kommunikation der Anforderungen an die Mitarbeiter durch Workshops und Schulungen.
  • Ableiten von Maßnahmen und Strukturieren eines Mitigationsplans basierend auf Erfüllungsanalyse
    • Ableiten eines konkreten Maßnahmenkatalogs
    • Priorisierung der notwenigen Änderungen und Entwicklung eines zeitlichen und inhaltlichen Mitigationsplanes

Kontaktieren Sie uns hierzu gerne, um Ihre eigenen Möglichkeiten auszuloten und gemeinsam Ihr VAIT-Readiness-Assessment durchzuführen.

Ihre Ansprechpartner

Jochen Friedrich

Partner
Dies ist ein Porträtfoto von Michael Lohmann.

Michael Lohmann

Junior Manager

Weitere GRC-Impulse

Header IT-Arbeitsplatz
26.07.2024

Digital Workplace

11.04.2024

DORA Readiness Analyse

27.09.2023

VAIT-Readiness Assessment

25.01.2023

Governance, Risk & Compliance - Audit Management

Header IT-Arbeitsplatz
26.07.2024

Digital Workplace

11.04.2024

DORA Readiness Analyse

27.09.2023

VAIT-Readiness Assessment

25.01.2023

Governance, Risk & Compliance - Audit Management

Header IT-Arbeitsplatz
26.07.2024

Digital Workplace

11.04.2024

DORA Readiness Analyse

27.09.2023

VAIT-Readiness Assessment

25.01.2023

Governance, Risk & Compliance - Audit Management

Header IT-Arbeitsplatz
26.07.2024

Digital Workplace

11.04.2024

DORA Readiness Analyse

27.09.2023

VAIT-Readiness Assessment

25.01.2023

Governance, Risk & Compliance - Audit Management

Header IT-Arbeitsplatz
26.07.2024

Digital Workplace

11.04.2024

DORA Readiness Analyse

27.09.2023

VAIT-Readiness Assessment

25.01.2023

Governance, Risk & Compliance - Audit Management