1 Empfehlungen

Für praktisch jedes betroffene Unternehmen in der Versicherungswirtschaft steht zu erwarten, dass auf Basis der VAIT[^1] (Versicherungsaufsichtliche Anforderungen an die IT) konkrete, ergänzende Maßnahmen notwendig werden. Die Entwicklung und Umsetzung eines geeigneten Aktionsplans für die Erfüllung, Messung und den Nachweis der relevanten Anforderungen ist eine wesentliche Managementaufgabe. Zu den wichtigsten Empfehlungen zählen:

• Ermittlung der konkreten Anforderungen für das jeweilig betroffene Unternehmen aus der aktuell vorgelegten Schriftform. Diese sollte auf Basis individueller Faktoren ausgelegt werden, Risikobewusstsein und eine starke Risikoorientierung sind hierbei explizit gewollt.
• Überprüfung der IT-Organisation und -Prozesse.
• Erfassung der bereits umgesetzten Maßnahmen, einhergehend mit einer Bewertung der jeweiligen Wirksamkeit.
• Ermittlung und Dokumentation des Status Quo und des im Konsens mit der Unternehmensleitung definierten Zielbildes.
• Definition eines Aktionsplans unter Betrachtung der acht thematischen Fokusbereiche, beginnend mit der Ausformulierung einer angemessenen IT-Strategie.
• Besonderer Fokus auf die neu geschaffenen Anforderungen im Berechtigungsmanagement.

• Integration geänderter IT-Servicemodelle. Hierzu gehört die Betrachtung der dezentralen IT in den Fachbereichen, Auslagerungen, die Nutzung der IT-Dienste Dritter, Managed Service Provider und zunehmend auch der Cloud.
• Umsetzung des definierten Aktionsplans unter Anwendung eines Risiko-orientierten Ansatzes (Top-Down) und, falls möglich, einem hohen Maß an Parallelisierung.
• Schaffung und Gewährleistung eines hohen Grades an Transparenz der IT gegenüber der Geschäftsleitung und den Aufsichts- und Prüfungsorganen