Beseitigung von Lücken zwischen Business und IT in der Versicherungsbranche durch Anforderungsmanagement

Wenn Sie in Geschäfts- oder IT-Teams in der Versicherungs- oder Finanzbranche tätig sind, ist Ihnen diese Lücke vielleicht schon einmal aufgefallen: Das Geschäftsteam fordert eine kleine Änderung an einer Bewertungs- oder Zeichnungsregel, das IT-Team setzt diese um, und wenige Tage später verhält sich das Policensystem anders als erwartet.

Diese Diskrepanz entsteht in der Regel, wenn Geschäftsteams über Produkte, Abdeckung und Einreichungen sprechen, während IT-Teams präzise Logik und Systemverhalten benötigen. Diese „kleinen“ Unstimmigkeiten führen insgesamt zu einem stagnierenden Wachstum und steigenden operativen Risiken.

Ihr Team ist nicht das einzige, das mit diesen Lücken zu kämpfen hat. Diese Lücken sind weit verbreitet, und die Ovum-Umfrage, aus der hervorgeht, dass nur 27 Prozent der Versicherer ihre Projekte als erfolgreich bewerteten, ist ein Beleg dafür.

In diesem Blogbeitrag erläutern wir, warum diese Lücken bestehen bleiben, welche Kosten sie für Versicherer verursachen und wie das Management von Versicherungsanforderungen dazu beiträgt, dass Geschäfts- und IT-Abteilungen aufeinander abgestimmt bleiben.

Die tatsächlichen Kosten von Lücken zwischen Geschäftsabläufen und IT bei der Entwicklung von Versicherungsprodukten

Bei Modern Requirements steht unser Vertriebsteam jeden Monat mit zahlreichen Versicherern in Kontakt, und 80 % von ihnen stehen vor folgender häufiger Herausforderung:

• Das Geschäft und die IT arbeiten mit unterschiedlichen Definitionen dessen, was als „fertig“ gilt: Die größte Herausforderung besteht darin, dass Geschäftsteams und IT-Teams auf unterschiedlichen Abstraktionsebenen arbeiten. Geschäftsteams formulieren Anforderungen in Form von Ergebnissen; IT-Teams hingegen benötigen klare User Stories mit Abnahmekriterien, um eine Funktion oder Änderung umsetzen zu können. Wenn diese Vorgaben nicht richtig interpretiert werden, implementiert das IT-Team am Ende etwas anderes.
• Genehmigungen erfolgen ohne einheitliches Verständnis: Von mehreren Versicherern erfahren wir, dass ihre Produktänderungsprüfungen per E-Mail oder über Tabellenkalkulationen durchgeführt werden. Da verschiedene Teams kein einheitliches Verständnis haben, werden Genehmigungen erteilt, ohne dass ein einheitliches, abgestimmtes Verständnis der Regeln, Abhängigkeiten und nachgelagerten Auswirkungen vorliegt.
• Risiken im Zusammenhang mit der Einhaltung gesetzlicher Vorschriften: Compliance-Teams legen zwar fest, welche Vorschriften zu befolgen sind, doch wenn diese Vorschriften nicht angemessen mit den IT-Teams besprochen oder in konkrete Arbeitsaufträge umgesetzt werden, entspricht das Endprodukt niemals regulatorischen Standards wie DORA.
• Mangelnde Rückverfolgbarkeit bei Audits und der Einreichung von Unterlagen: Bei der Erstellung von Auditberichten haben die Teams Schwierigkeiten, nachzuvollziehen, wer die Funktion vorgeschlagen und umgesetzt hat, ob die Compliance-Vorgaben eingehalten werden und wie die Tests durchgeführt werden.
• Das Vertrauen zwischen den Teams schwindet: Wenn es Unstimmigkeiten beim Verständnis der Anforderungen gibt, entsteht ein Vertrauensproblem zwischen den beiden Teams. Die Fachteams könnten den Eindruck haben, dass die IT-Abteilung Anforderungen übersehen hat, während die IT-Teams das Gefühl haben könnten, dass die Anforderungen nie klar waren.

Die tatsächlichen Kosten dieser Herausforderungen beschränken sich nicht nur auf Projektverzögerungen; sie gehen weit darüber hinaus. Im Laufe der Zeit führen diese Herausforderungen zu Nacharbeiten, erhöhen die Lieferkosten und verzögern die Markteinführung. In manchen Fällen müssen Versicherer möglicherweise hohe Strafen an Aufsichtsbehörden zahlen, wenn sie die Compliance-Vorschriften nicht einhalten.

Fallbeispiel: Wenn Abweichungen bei den Anforderungen zu finanziellen Verlusten führen

Ein bekanntes Beispiel ist das gescheiterte Projekt zum Aufbau eines Kernversicherungssystems bei der Co-operative Insurance im Vereinigten Königreich. IBM wurde mit der Bereitstellung der Plattform beauftragt, doch das Projekt scheiterte nach jahrelangen Verzögerungen und verfehlten Erwartungen. Das Gericht stellte später fest, dass Mängel bei der Umfangskontrolle, der Unternehmensführung und der Abstimmung der Leistungserbringung zu Verlusten in Höhe von über 80 Millionen Pfund geführt hatten.

Solche Ergebnisse sind keine Seltenheit. Sie sind die vorhersehbare Folge einer mangelnden Anforderungsdisziplin in komplexen Versicherungsumgebungen.

Wie das Anforderungsmanagement diese Lücke zwischen Business und IT schließen kann

Wenn Versicherungsteams einen strukturierten Prozess für das Anforderungsmanagement befolgen, verlassen sich Geschäfts- und IT-Teams nicht mehr auf Interpretationen, sondern stützen sich auf gemeinsame, schriftlich festgehaltene Anforderungen, die als Leitfaden für Entscheidungen von der Genehmigung bis zur Produktion dienen. Darüber hinaus verändert das Anforderungsmanagement in der Versicherungsbranche die Arbeitsweise von Versicherungsteams grundlegend. Hier haben wir einige Vorteile aufgelistet:

• Einheitliches Verständnis der Produktfunktionen: Sowohl das Fachteam als auch das IT-Team verfügen über eine einzige Informationsquelle für die Anforderungen. Anstatt sich auf Vermutungen zu stützen, arbeiten sie somit auf der Grundlage tatsächlicher Fakten.
• Wichtige Genehmigungen: In der Regel finden die Überprüfung und Freigabe von Anforderungen isoliert voneinander statt. Daher kann es vorkommen, dass verschiedene Teams unterschiedliche Versionen der Anforderungen sehen. Mit einem gut durchdachten Anforderungsmanagementprozess können Teams die Anforderungen jedoch gemeinsam überprüfen. Jeder im Team kann die aktuellste Version einsehen, nachverfolgen, was geändert wurde und wer die Änderungen vorgenommen hat, und die Anforderungen anschließend freigeben.
  • Frühe Erkennung von Auswirkungen: Eine kleine Änderung an einer einzelnen Anforderung kann sich auf mehrere Anforderungen auswirken und zu Nacharbeiten oder Fehlern in IT-Systemen führen. Mit Hilfe des Anforderungsmanagements können Teams jedoch Abhängigkeiten nachverfolgen und deren Auswirkungen erkennen, noch bevor die Entwicklung beginnt.
  • Systemkonforme Compliance: In den Vorschriften und Richtlinien wird zwar erläutert, welche Regeln zu befolgen sind, jedoch nicht in Form einer Checkliste für die Umsetzung. Produktteams können diese in eine Checkliste für die Umsetzung sowie in Abnahmekriterien umsetzen, diese gemeinsam mit den Compliance-Teams prüfen und zur Entwicklung an die IT-Teams weiterleiten. So wird sichergestellt, dass das Produkt den Branchenvorschriften entspricht und die regulatorischen Anforderungen im System berücksichtigt werden.
  • Kontrollierte Änderungsverwaltung: IT-Software in der Versicherungsbranche entwickelt sich ständig weiter. Teams müssen unter Umständen Änderungen vornehmen, um neuen Compliance-Anforderungen oder Nutzer-Feedback Rechnung zu tragen. Wenn Anforderungen zentral verwaltet werden, werden Änderungen mit Verlauf und Begründung nachverfolgt. Die Teams wissen, was sich geändert hat, warum es geändert wurde und was erneut getestet werden muss. So werden Abweichungen im Laufe der Quartale vermieden.
• Strukturierte Dokumentation, keine nachträglichen Aufzeichnungen: Das Anforderungsmanagement für Finanzinstitute ermutigt Versicherungsteams, alles von Anfang an zu dokumentieren, anstatt sich nach der Lieferung zu beeilen. Es erfasst Geschäftsregeln, Annahmen, Genehmigungen und Änderungen an einem Ort. So entsteht eine zuverlässige Referenz, die Teamwechsel, Lieferantenwechsel und lange Lieferzyklen überdauert.

Für Versicherer wird das Anforderungsmanagement zum Kontrollpunkt, der dafür sorgt, dass Strategie, Systeme und Compliance Hand in Hand gehen.

Praxisbeispiele, in denen das Anforderungsmanagement Lücken schließt

Aktualisierung des internen Solvency-II-Modells

Nehmen wir an, der Versicherer aktualisiert sein internes Modell im Vorfeld einer aufsichtsrechtlichen Überprüfung nach Solvency II. Andererseits überarbeiten auch die versicherungsmathematischen Teams ihre Annahmen, doch die IT-Systeme wenden bei der Risikobewertung und Berichterstattung weiterhin ältere Datenregeln an.

Mit einem ordnungsgemäßen Anforderungsmanagement kann jedoch jede Annahme als Anforderung erfasst und mit Datenquellen, Berechnungen, Dokumenten und Tests verknüpft werden. Darüber hinaus setzen IT-Teams stets aktuelle und genehmigte Anforderungen um, wodurch unnötiger Hin- und Her-Austausch vermieden wird. Bei der Überprüfung oder dem Audit kann der Versicherer nachweisen, dass die Systeme unter Berücksichtigung der Compliance entwickelt wurden.

DORA-gestützte Resilienz und Bereitschaft für Zwischenfälle

Ein europäischer Versicherer bereitet sich auf die Einhaltung der DORA-Vorschriften vor und muss die IT-Resilienz seiner Plattformen für Policen und Schadenbearbeitung nachweisen. Ohne strukturierte Anforderungen sind Resilienzprüfungen, Workflows für Vorfälle und Kontrollen durch Dritte uneinheitlich verteilt.

Das Anforderungsmanagement für Versicherungsprodukte verknüpft die DORA-Vorgaben mit Systemszenarien, Testnachweisen und den SLAs der Anbieter. Wenn Auditoren fragen, wie kritische Dienste geschützt und getestet werden, können die Teams mit nachvollziehbaren Nachweisen statt mit manuellen Erklärungen antworten.

Wie eine Anforderungsmanagement-Software wie Modern Requirements die Kluft zwischen Geschäfts- und IT-Abteilungen in der Versicherungsbranche überbrückt

Modern Requirements4DevOps ist ein Anforderungsmanagement-Tool, das speziell für stark regulierte Branchen wie die Versicherungs- und Finanzbranche entwickelt wurde, in denen Softwaresysteme Standards wie NAIC, OSFI, EIOPA/Solvency II, DORA, SOC 2 und PCI DSS erfüllen müssen. Dazu verwandelt es Azure DevOps in ein dynamisches, vernetztes Repository, in dem alle Anforderungen, Tests, Risiken und Überprüfungen an einem Ort miteinander verknüpft sind.

Da Modern Requirements4DevOps direkt in Ihrem Azure DevOps-Arbeitsbereich integriert ist, verfügen Teams über eine zentrale Quelle für Anforderungen und Nachweise zur Compliance. Versicherungsteams müssen nicht mehr in E-Mails nach einzelnen Dokumenten oder Genehmigungen suchen. Stattdessen finden sie alles an einem Ort.

Darüber hinaus ermöglicht Modern Requirements4DevOps den Teams, mit einem einzigen Klick Rückverfolgbarkeitsmatrizen zu erstellen. So können Teams klar visualisieren, wie Compliance-Anforderungen wie die DORA-Kontrolle tatsächlich mit User Stories, Testfällen, Risikodokumenten oder Bereitstellungsaufgaben verknüpft sind, und fehlende Verknüpfungen oder Anforderungen schnell ausfindig machen. Bei Audits oder DOI-Prüfungen können Versicherer sofort konforme Nachweise und Rückverfolgbarkeitsmatrizen generieren, anstatt diese manuell nachzubilden.

Darüber hinaus bieten die KI-Funktionen von MR4DevOps Versicherern einen zusätzlichen Mehrwert. Mit Copilot4DevOps können Teams aus Besprechungsnotizen sofort Anforderungsentwürfe erstellen, Rohanforderungen in User Stories umwandeln, Anforderungsdiagramme oder -dokumente generieren, Pseudocode oder Testfälle entwerfen usw. Außerdem hilft es dabei, die Auswirkungen von Änderungen mithilfe von KI zu bewerten.

Schließlich unterstützt das integrierte Modul zur Anforderungsprüfung Teams aus verschiedenen Abteilungen dabei, Anforderungen gemeinsam zu prüfen und zu genehmigen. Das bedeutet, dass die Teams aus den Bereichen Business, IT, Versicherungsmathematik und Compliance alle auf derselben genehmigten Vorlage arbeiten.

Darüber hinaus hilft die Versionsverwaltungsfunktion von MR dabei, jede Änderung an den Anforderungen nachzuverfolgen.

Modern Requirements4DevOps verwandelt Anforderungen von einer zeitlich begrenzten Checkliste in einen strukturierten, geprüften und automatisierten Prozess, der auf die Realitäten der Versicherungsbranche abgestimmt ist.