Anforderungsmanagement in Zeiten der Versicherungsaufsichtlichen Anforderungen an die IT (VAIT)

In ihrem Rundschreiben 10/2018 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) definiert. Diese geben ab sofort Richtlinien vor, gemäß derer Versicherer ihre IT-Entwicklung und ihren IT-Betrieb organisieren müssen.

Im Hinblick auf das Thema „Anforderungsmanagement“ (auch als „Requirements Engineering“ oder „Business Analyse“ bezeichnet) gibt es einige spezielle Vorgaben, die zum Teil von der aktuellen Praxis bei vielen Versicherern abweichen.

In diesem Artikel möchten wir deshalb einige der relevanten Vorgaben aus der VAIT benennen und die Notwendigkeit für professionelle Werkzeugunterstützung dahingehend motivieren.

Wichtige Vorgaben der VAIT

Der Anforderungsprozess

In Punkt 49 fordert die VAIT die Festlegung angemessener Prozesse für die Anwendungsentwicklung, die u.a. „Vorgaben zur Anforderungsermittlung“ enthalten.

Konkretisiert wird diese Vorgabe in Punkt 50: „Sowohl Anforderungen an die Funktionalität der Anwendung wie auch nichtfunktionale Anforderungen müssen sachgerecht erhoben, bewertet und dokumentiert werden. Die Verantwortung für die Erhebung und Bewertung der Anforderungen liegt in den Fachbereichen.“

Im Wesentlichen bedeutet das für einen Versicherer, dass er seine kompletten Prozesse rund um das Anforderungsmanagement hinterfragen muss, um diese VAIT-konform zu gestalten. Dabei geht es vor allem um Fragen wie z.B.

• Wie kommunizieren Fachbereich und IT (Anwendungsentwicklung) miteinander?
• Welche Eingangskanäle gibt es für Anforderungen?
• Sind die Kommunikationsschnittstellen geklärt und standardisiert?
• Werden (alle) Anforderungen systematisch dokumentiert? Wie werden Anforderungen beschrieben?
• Wer beschreibt Anforderungen und wo werden diese festgehalten (Tools)?
• Ist es nachvollziehbar, wer Anforderungen gestellt, beschrieben, abgenommen hat?
• Ist die Dokumentation der Anforderungen revisionssicher und nachvollziehbar?
• Wie erfolgt die Bewertung und Auswirkungsanalyse von eingehenden Anforderungen? Sind Entscheidungen und Abnahmen nachvollziehbar dokumentiert?
• Wie erfolgt das Management der Anforderungen über den Lebenszyklus hinweg?

Diesbezüglich relevant sind insbesondere auch Punkt 10, der besagt, dass alle Mitarbeiter über die jeweils erforderlichen Kenntnisse und Erfahrungen verfügen müssen, und Punkt 11, dass die Abwesenheit oder das Ausscheiden von Mitarbeitern nicht zu nachhaltigen Störungen der Betriebsabläufe führen darf.

Folglich muss der Prozess wiederholbar und möglichst personenunabhängig implementiert werden, was hohe Anforderungen an die Ausbildung und alltägliche Arbeitsunterstützung der für das Anforderungsmanagement zuständigen Personen stellt.

Die Anwendungsdokumentation

Neben der erwähnten Vorgabe zur angemessenen Erhebung und Dokumentation der Anforderungen im Rahmen eines IT-Projektes, fordert die VAIT in Richtlinie 53 darüber hinaus auch eine „übersichtliche und für sachkundige Dritte nachvollziehbare“ Dokumentation für entwickelte Anwendungen, die über die Anforderung hinausgehend auch wichtige Entwurfsentscheidungen umfasst.

Dies bedeutet für einen Versicherer, dass für alle Anwendungen, die ggf. aktuell noch nicht dokumentiert sind, eine Anwendungsdokumentation nachgezogen werden muss, was unter Umständen einen großen Aufwand nach sich zieht.

Weitergehende Dokumentationspflichten

Im Abschnitt „Informationsrisikomanagement“ fordert die VAIT weiterhin die Dokumentation gewisser Sachverhalte, die im Rahmen eines innerbetrieblichen Anforderungsmanagements ebenfalls von Bedeutung sind.

So fordert beispielsweise Richtlinie 20, dass ein Unternehmen stets „einen aktuellen Überblick über die Bestandteile des festgelegten Informationsverbunds“ hat, wozu „bspw. geschäftsrelevante Informationen, Geschäftsprozesse, IT-Systeme sowie Netz- und Gebäudeinfrastrukturen“ gehören, die im Rahmen der Anwendungsentwicklung häufig modifiziert werden.

Ferner fordert die VAIT in Richtlinie 22, neben projektspezifischen IT-Anforderungen auch die Dokumentation von Anforderungen „zur Umsetzung der Schutzziele in den Schutzbedarfskategorien“ in Form eines Sollmaßnahmenkatalogs. Auch wenn sich diese Anforderungen nicht unmittelbar als Anforderungen für ein Anwendungsentwicklungsprojekt verstehen, so können und sollten sie ebenfalls mit bewährten Methoden und Vorgehensweisen des Anforderungsmanagements adressiert werden.

Warum Toolunterstützung unumgänglich ist

Um den Implikationen der VAIT im Hinblick auf das Themenfeld “Anforderungsmanagement” angemessen zu begegnen, ist eine adäquate Toolunterstützung unumgänglich. Dedizierte Werkzeuge für das Anforderungsmanagement (sogenannte Rquirements Management Tools bzw. RM Tools), die von Haus aus eine perfekte Unterstützung für solche Herausforderungen liefern, finden bis dato jedoch nur bei wenigen Versicherern, zumeist aus Gründen komplexer und kostspieliger Handhabung, Verwendung.

Bei vielen Versicherern werden Anforderungen stattdessen nach wie vor in einfachen Office-Produkten wie Word und Excel oder seit einigen Jahren auch zunehmend in unternehmensinternen Wikis wie Confluence dokumentiert und verwaltet.

Bei der Abbildung eines durchgängigen, nachvollziehbaren Anforderungsprozesses, in dem alle Änderungen, Entscheidungen und Abnahmen prüfungssicher und qualitätsgesichert dokumentiert sind und in dem der Lebenszyklus einer Anforderung komplett nachverfolgt werden kann, stoßen diese Tools jedoch schnell an ihre Grenzen. Folglich eignen sich diese Tools trotz ihrer grundsätzlichen Eignung zur Anforderungsdokumentation aufgrund ihrer mangelnden Unterstützung für weitergehende Aufgaben im Sinne der VAIT nicht.

Versicherer sollten sich daher bewusst sein, dass ein Umdenken weg von bisherigen Vorgehensweisen und Tools hin zu professionellen Anforderungsprozessen und professioneller Anforderungsmanagement-Software erforderlich ist – und das nicht nur im Hinblick auf die VAIT, sondern insbesondere auch bezüglich Digitalisierung im Allgemeinen.

„Compliant werden“ mit ReqSuite®

ReqSuite® RM, eine professionelle Anforderungsmanagement-Software der neusten Generation, bietet alle Funktionalitäten, die für einen VAIT-konformen Anforderungsprozess benötigt werden. Im Gegensatz zu eher traditionellen RM Tools zeichnet sich ReqSuite® RM insbesondere durch einfache Anwendbarkeit, intelligente Assistenz und hohe Flexibilität aus, was auch die Zuarbeit von Fachabteilungen in der Anforderungsanalyse signifikant erleichtert.

Die Idee für ReqSuite® basiert auf Erfahrungen dreier Berater, die in den vergangenen Jahren zahlreiche Projekte zur Ein- und Durchführung von Anforderungsmanagement im Versicherungsumfeld begleitet haben und dort immer wieder mit den gleichen Herausforderungen im Hinblick auf Effizienz und Compliance konfrontiert worden sind.

In ReqSuite® wurde deshalb ein Satz sinnvoller Funktionen implementiert, um gerade auch bei Versicherern, bei denen die IT-Entwicklung enorm wichtig, aber eben nicht das Tagesgeschäft ist, Anforderungsprozesse effektiv, effizient und nachvollziehbar durchführen zu können. Dazu lässt sich mit ReqSuite® ein VAIT-konformer Anforderungsprozess abbilden, in dem Fachbereiche und IT-Bereiche gemeinsam Anforderungen erarbeiten und revisionssicher dokumentieren können.

Insbesondere die Rolle des Fachbereiches als Anforderungssteller und Genehmiger von Anforderungen kann durch die intelligente Assistenz und automatische Qualitätssicherung von ReqSuite® gestärkt werden. Dabei kann auch, wie von der VAIT in Nummer 42 gefordert, eine Wesentlichkeitsanalyse und Auswirkungsanalyse direkt und semi-automatisiert durchgeführt werden.

Bei der Nutzung von ReqSuite® RM müssen Versicherer insbesondere nicht auf einen vorgegebenen Standardprozess zurückgreifen – ReqSuite® bietet die Möglichkeit mit Hilfe eines integrierten Designers den Anforderungsprozess einfach und ohne Codierungsaufwand vollständig an die Bedürfnisse des Unternehmens anzupassen.

Freigabeschritte, Anforderungstypen und auch Beschreibungsvorlagen können individuell definiert werden. So kann auch der Forderung der VAIT aus Nummer 50 entsprochen werden, die die Erhebung und Dokumentation unterschiedlicher Anforderungsarten wie beispielsweise funktionale und nichtfunktionale Anforderungen vorbeschreibt. Außerdem können die anderweitigen Dokumentationspflichten, die über das reine Anforderungsmanagement hinaus gehen, durch geeignete Konfiguration mit ReqSuite® ebenfalls abgebildet werden.

Durch die langjährige Expertise im Versicherungsumfeld stehen wir Versicherern jederzeit mit Rat und Tat zur Seite, um das komplexe Thema Anforderungsmanagement VAIT-konform in ReqSuite® umzusetzen.

Sprechen Sie uns an und zögern Sie nicht länger, denn die Aufsicht steht bereits in den Startlöchern!