Institutional Money, Ausgabe 2 | 2019

sehr früh eine sogenannte VAIT-Impact- Analyse durchgeführt. Ziel dieser Analyse war es, den Reifegrad in Bezug auf die Anforderungen der VAIT zu ermitteln. Die daraus resultierenden Handlungsempfehlun- gen und Maßnahmen wurden in einem spe- ziellen VAIT-Projekt geplant. Dieses befin- det sich derzeit in Umsetzung und umfasst Maßnahmen aus allen Themengebieten der VAIT. Dabei liegt unser Fokus auf den The- mengebieten IT-Ausgliederung, Informa- tionssicherheitsmanagement und Risikomanagement“, erklärt eine Unternehmenssprecherin. Langwieriger Prozess Dieser Status quo könnte zu Pro- blemen führen, denn während die einen erst dabei sind, die Vorschrif- ten umzusetzen, prüfen die anderen bereits deren Einhaltung. Dabei wird deutlich, dass eine Umstellung der IT- Systeme ein Prozess ist, der kaum von ei- nem Tag auf den anderen perfekt umsetzbar ist. Dazu ein BaFin-Sprecher: „Die VAIT sind seit Juli 2018 in Kraft. Seitdem führen wir neben Gesprächen und Umfragen auch gesonderte Prüfungen bei Versicherungsun- ternehmen durch, um die Umsetzung der VAIT zu beurteilen.“ Hierbei habe die Ba- Fin zum Beispiel Schwächen bei der Um- setzung der IT-Governance, des Informati- onsrisikomanagements und des Informati- onssicherheitsmanagements sowie bei Aus- gliederungen festgestellt. Speziell bei Ausgliederungen an Cloud- Anbieter standen die Versicherungsunter- nehmen offenbar vor massiven regulatori- schen Herausforderungen – und das bereits bei den Vertragsverhandlungen. „Wir sind daraufhin mit verschiedenen Cloud-Anbie- tern in Dialog getreten“, erklärt der BaFin- Sprecher. Ein Schwerpunkt der Gespräche sei die Ausgestaltung der Verträge gewesen, die auch die aufsichtsrechtlich relevanten Vorgaben erfüllen sollten, also beispiels- weise Informations- und Prüfungsrechte der beaufsichtigten Unternehmen und der Auf- sicht. Zudem hat die BaFin eine Orientie- rungshilfe zu Auslagerungen an Cloud-An- bieter veröffentlicht, um „für die beaufsich- tigten Unternehmen ein Problembewusst- sein im Umgang mit Cloud-Diensten und den damit verbundenen aufsichtsrechtlichen Anforderungen zu schaffen“. Lehrstück Banken-IT Aber nicht nur die technische Erstellung einer neuen IT-Organisation stellt eine Her- ausforderung dar, es gibt darüber hinaus auch Vorbehalte seitens der Belegschaft. „Die VAIT betrifft viele Teilbereiche der täglichen Arbeit. Das kann dazu führen, dass Mitarbeiter und Mitarbeiterinnen ihre vermeintlichen Schlüsselpositionen aufge- ben müssen, da Ersetzbarkeit und Funk- tionstrennungen wesentliche Aufsichtskrite- rien sind. Diese Widerstände gilt es zu über- winden und in den Systemen Rollen mit Funktionen zu definieren, die auch von den Mitarbeitern und Mitarbeiterinnen unter- stützt werden“, berichtet Diem aus seiner beruflichen Erfahrung. Bei der BaFin zeigt man für diese Her- ausforderungen doch einiges Verständnis: „Wir sind uns bewusst, dass die Umsetzung der VAIT ein Prozess ist. Dabei begleiten wir die Unternehmen eng“, erklärt ein Ba- Fin-Sprecher. So hat die BaFin ein „Exper- tengremium IT“ eingerichtet, das sich aus Branchenvertretern und Vertretern der Auf- sicht zusammensetzt „und so den Austausch zwischen der Versicherungsbranche und der Aufsicht fördern soll“. FOTO : © TME Die VAIT stellen einen tiefen Eingriff dar Die Umgestaltung der IT-Systeme greift tief in die Organisation und die Prozesse der Versicherungsunternehmen ein. Dass die Umsetzung nicht immer im ersten Schritt funktioniert, zeigen zahlreiche Feststellungen bei den aufsichtsrechtlichen Prüfungen bei den Banken. Ähnliches ist wohl auch bei den Versicherungsunternehmen zu erwarten. Quelle: Deloitte VAIT Compliance Check GAP-Analyse GAP-Analyse Maßnahmendefinition Umsetzung Identifikation relevanter Geschäftsbereiche, Funktionen und Systeme Web-basierter VAIT-Compliance Check zum Erfüllungsgrad der VAlT-Anforderungen Ist-Situation Definition einer risikobezogenen, individuellen Soll-Situation Festlegung von Maßnahmen zur Steigerung des ErfüIIungsgrades Erstellung einer Roadmap zur Umsetzung Implementierung der erforderlichen Anpassung » Die IT-Systeme der Banken sind aufgrund der historisch gewachsenen IT-Architekturen oft sehr unflexibel. « Jana Ebner, Senior Consultant bei TME AG, The Transformation Management Experts 266 N o. 2/2019 | www.institutional-money.com S T E U E R & R E C H T : I T- R EGUL ATOR I K