VAIT: Prozesstransparenz als Kernelement für eine zukunftsgerichtete sichere IT-Organisation
Erwarten Sie das Audit einer Regulierungsstelle? Zum Teil sind es veraltete technische Systeme, die von Auditoren als Schwachstellen bei Versicherern identifiziert werden. Häufig handelt es sich jedoch um Lücken, die durch ein konsequent gelebtes Prozessmanagement geschlossen werden können. Vor diesem Hintergrund zeigen wir die Bedeutung und den Nutzen transparenter und durchgängig kontrollierter Prozesse in diesem Kontext auf.
Aktuell suchen viele deutsche Versicherer nach Wegen, um die gestiegenen Anforderungen der jüngsten VAG-Novelle an ihre IT zu erfüllen. Die versicherungsaufsichtlichen Anforderungen der BaFin an die IT beziehen sich dabei in erster Linie auf das IT-Ressourcenmanagement, das Informationsrisikomanagement und das Informationssicherheitsmanagement.
VAIT-Findings durch intransparente Prozesse und mangelnde Berechtigungskonzepte
Für ein erfolgreiches Audit reicht es nicht, Sicherheitsrichtlinien und Schutzmaßnahmen zu definieren sowie leistungsfähige und zeitgemäße Technologien zu implementieren. Ohne ein belastbares Prozessmanagement und eine passgenaue Governance fehlt diesen Maßnahmen der gemeinsame Bezugspunkt. Denn im Rahmen der Audits sind die Unternehmen und ihre IT-Teams gefordert, die entsprechenden Prozesse offenzulegen. Doch dazu müssen sie diese erst einmal selbst im Griff haben.
Im Grunde geht es in den Regularien zumeist um Fragen des Berechtigungsmanagements: Welche Rollen wirken in welchen Prozessen mit? Welche IT-Systeme und Daten müssen diesen Nutzern dafür basierend auf Berechtigungen zur Verfügung gestellt werden, sodass diese ihre Aufgaben angemessen ausführen können, ohne Zugriff auf sensible Daten zu erhalten, die nicht für sie bestimmt sind?
Prozessmanagement als Treiber für eine smartere Governance
Ein modernes Prozessmanagement besteht nicht nur aus der Dokumentation relevanter Prozesse im Unternehmen und dem Design von Prozessablaufdiagrammen. Es erfasst eben auch zentral Rollen, IT-Systeme, Kontrollen, Kommunikationswege und die Daten, die entweder benötigt oder im Zuge der Prozessaktivitäten erzeugt werden.
Regulatorische Anforderungen sollten daher in die unternehmensinterne Prozess-Governance und in Design-Standards übersetzt werden, die für die Organisation definiert und nachgehalten werden müssen. Kommt es zu einem Audit und werden entsprechende Nachweise gefordert, können führende Toolanbieter im Bereich der Prozessmodellierung Abhilfe schaffen. Relevante Reports lassen sich mit nur wenigen Mausklicks auf Basis der dokumentierten Prozesse erzeugen. So kann z. B. nachvollzogen werden, in welchen Prozessen ein Lieferant beteiligt und in welchen Aktivitäten er auf welche Weise involviert ist.
Effizienzsteigerungen durch transparente Prozessdokumentation
Darüber hinaus gewinnt das Unternehmen Transparenz, in welchen Prozessen kritische Applikationen genutzt werden, die den gestiegenen regulatorischen Anforderungen nicht mehr genügen. So lässt sich viel einfacher und effizienter bemessen, wie komplex bspw. die Ablösung eines solchen Altsystems wäre.
Die jüngste VAIT-Novelle (BaFin-PDF) verlangt, dass die Leitlinien für die IT-Aufbau- und IT-Ablauforganisation bei wesentlichen Veränderungen der Aktivitäten und Prozesse zeitnah anzupassen sind. Dies ist deutlich einfacher, wenn Prozesse bereits in einem zentralen Prozessmanagement-Tool des Unternehmens gespeichert sind und dieses über eine Versionskontrolle verfügt. So kann ggf. auf veraltete Prozessdokumentationen zurückgegriffen und sich effizient auf die Dokumentation der wesentlichen Veränderungen beschränkt werden, die dann in einer aktualisierten Prozessversion publiziert werden können.
Process Mining zur Überprüfung der Prozess-Compliance
Nun legen Prozessdokumentationen häufig fest, wie Prozesse ablaufen (sollen). In der Realität weicht die tatsächliche Durchführung der Prozesse aber häufig vom Soll ab. Daher empfiehlt es sich, ein Monitoring der Prozesse auf Basis von Process Mining zu etablieren, das nicht nur die reine Prozessperformance wie bspw. Ineffizienzen, Bottlenecks oder den Automatisierungsgrad im Blick hat. Auf Basis der genutzten Prozessdaten kann auch die Prozess-Compliance nachvollzogen werden, d. h. inwiefern die Prozesse tatsächlich gemäß den regulatorischen Anforderungen gelebt werden.
Noch ein Tipp zum Schluss
Machen Sie sich frei von der Vorstellung, dass Sie mit Investitionen in Ihr Prozessmanagement lediglich auf die Erfüllung von Regulierungsanforderungen einzahlen. Ein effektives Prozessmanagement ist auch jenseits von VAIT und Co. ein wesentlicher Hebel, um Ihr Unternehmen kundenzentrierter, nachhaltiger und digitaler zu machen.
Wenn Sie sich für Prozessverbesserungen interessieren und wissen wollen, wie Six Sigma und Process Mining voneinander profitieren, melden Sie sich gerne bei mir über mein Autorenprofil.
Einen weiteren Artikel zum Thema Prozessmanagement finden Sie hier.
Quelle Titelbild: AdobeStock/Miha Creative
