Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat mit der Veröffentlichung der versicherungsaufsichtlichen Anforderungen an die IT (VAIT) eine Erwartungshaltung formuliert, wie Versicherungsunternehmen ihre Informationstechnik, insbesondere das Management der IT-Ressourcen und das IT-Risikomanagement, zu gestalten haben.
Da die Anforderungen an die IT allerdings recht generisch formuliert sind, ergibt sich ein Interpretationsspielraum, der im Versicherungsumfeld für große Unsicherheit sorgt. Schließlich drohen bei Nichterfüllung der Anforderungen harte Sanktionen, die von der Aufsichtsbehörde eingeleitet werden können.
Hinzu kommt, dass sich die VAIT nicht nur auf den IT-Kontext – etwa IT-Strategie, IT-Governance, Informationsrisiko-, Informationssicherheits- oder Benutzerberechtigungsmanagement, IT-Projekte, IT-Betrieb oder die Auslagerung der IT – beschränken, sondern auch die einzelnen Fachbereiche miteinbeziehen. Hier sind dann beispielsweise auch die individuelle Datenverarbeitung, Tests und Freigaben von Partnern und Projekten betroffen.
Der Anspruch an IT-Projekte im Versicherungsbereich besteht jedoch häufig in einer günstigen und pragmatischen Umsetzung. Zudem möchte kein Versicherer an den Pranger gestellt werden, weshalb VAIT-Projekte auch auf Managementebene höchste Aufmerksamkeit genießen.