Aufrufe
vor 6 Jahren

RISIKO MANAGER 04.2018

  • Text
  • Anforderungen
  • Bonds
  • Institute
  • Unternehmen
  • Aufsicht
  • Institut
  • Risiken
  • Marisk
  • Insbesondere
  • Februar
  • Risiko
RISIKO MANAGER ist das führende Medium für alle Experten des Financial Risk Managements in Banken, Sparkassen und Versicherungen. Mit Themen aus den Bereichen Kreditrisiko, Marktrisiko, OpRisk, ERM und Regulierung vermittelt RISIKO MANAGER seinen Lesern hochkarätige Einschätzungen und umfassendes Wissen für fortschrittliches Risikomanagement.

18

18 RISIKO MANAGER 04|2018 Bankaufsichtliche Anforderungen an die IT (BAIT) IT-Risiko: Schärfung des Risikobewusstseins der Banken Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 6. November 2017 die finale Fassung vom 3. November 2017 der Bankaufsichtlichen Anforderungen an die IT (BAIT) veröffentlicht. Die BAIT konkretisieren die Mindestanforderungen an das Risikomanagement (MaRisk) vor allem bezüglich der IT. Die Aufsicht stuft die BAIT als zentralen Baustein für die IT-Aufsicht im Bankensektor in Deutschland ein. Die BaFin hat angekündigt, dass sich Prüfungen nach § 44 KWG mit IT-Fokus ab 2018 an den BAIT orientieren werden. Der Einsatz von Informationstechnik (IT) in den Instituten sowie die von Dienstleistern bereitgestellten IT-Services haben eine zentrale Bedeutung für die Finanzwirtschaft und werden weiter an Bedeutung gewinnen. Die Aufsicht verdeutlicht in ihrem Anschreiben zu den Bankaufsichtlichen Anforderungen an die IT (BAIT) bereits, dass sie die IT als Basisinfrastruktur für sämtliche bankfachlichen, aber auch für alle nichtbankfachlichen Prozesse in den Instituten ansieht. Sie hebt gesondert hervor, dass sie – angesichts einer globalisierten Finanzwelt – der IT-Governance und der Informationssicherheit sogar inzwischen den gleichen Stellenwert wie der Ausstattung der Institute mit Kapital und Liquidität beimisst. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und die Deutsche Bundesbank haben seit 2016 mit Vertretern von Kreditinstituten und Verbänden insbesondere im „Fachgremium IT“ die Entwürfe der BAIT erörtert [Bundesanstalt für Finanzdienstleistungsaufsicht, 2017a]. Die Anmerkungen der Vertreter des Fachgremiums IT sowie Vorschläge im Rahmen der umfangreichen Stellungnahme der Deutschen Kreditwirtschaft (DK) wurden vielfach in den Konsultationsentwurf im Mai 2017 eingearbeitet. Nach Abschluss der Konsultationsphase konnten in einer weiteren Sitzung des Fachgremiums IT im Juni 2017 noch Verbesserungen in der Entwurfsfassung erzielt werden. Aus Sicht der Aufsicht kodifizieren die BAIT keine neuen Anforderungen an die Institute und ihre IT-Dienstleister, sondern beinhalten nur Klarstellungen der bisher schon gültigen Regelungen. So spiegeln die Grundsätze und Anforderungen der BAIT die bereits seit Jahren praktizierte Auslegung der MaRisk im Rahmen der bankgeschäftlichen Prüfungen nach § 44 KWG durch die Aufsicht hinsichtlich der Informationstechnologie wider. Die Anforderungen, die sich aus den BAIT ergeben, sind daher größtenteils inhaltlich nicht vollkommen neu; sie sind aber den Instituten vielleicht bisher nicht so deutlich bekannt gewesen. Umsetzungsfristen oder Übergangsregelungen sieht die BAIT nicht vor. Die BaFin regelt im Anschreiben zu den BAIT, dass das Rundschreiben mit Veröffentlichung in Kraft tritt (also zum 6. November 2017). Daher sollen – nach Ansicht der BaFin – bereits im Rahmen der Jahresabschlussprüfung die Vorgaben der PrüfbV unter Einbeziehung der BAIT berücksichtigt werden. Im Folgenden werden nach Darstellung des Ziels und der Adressaten der BAIT die acht Anforderungen der BAIT in der Reihenfolge ihrer Themenmodule dargestellt. Ziele und Adressaten Zielsetzung der Bankaufsichtlichen Anforderungen an die IT (BAIT) ist es [Bundesanstalt für Finanzdienstleistungsaufsicht, 2017a], den Geschäftsleitungen der Institute die Erwartungen der Bankenaufsicht hinsichtlich der sicheren Ausgestaltung der IT-Systeme und der zugehörigen Pro-

Regulierung 19 zesse und Daten sowie die diesbezüglichen Anforderungen an die IT-Governance (Unterstützung der Unternehmensziele durch die IT) transparent zu machen. Die Anforderungen sollen einen flexiblen Rahmen für das Management von IT-Ressourcen, des Informationsrisikos und der Informationssicherheit schaffen [Essler & Gampe, 2018, S. 17]. Auf der Grundlage des § 25a Abs. 1 KWG geben die BAIT einen flexiblen und praxisnahen Rahmen für die technisch-organisatorische Ausstattung der Institute vor. Die BAIT interpretieren – ebenso wie die Mindestanforderungen an das Risikomanagement der Banken (MaRisk) – die gesetzlichen Anforderungen des § 25a Absatz 1 Satz 3 Nr. 4 und 5 KWG. Die Aufsicht präzisiert dort ihr Verständnis einer angemessenen technisch-organisatorischen Ausstattung der IT-Systeme unter besonderer Berücksichtigung der Anforderungen an die Informationssicherheit sowie eines angemessenen Notfallkonzepts. Da die Institute zunehmend IT-Dienstleistungen von Dritten beziehen, präzisieren sie ebenfalls die Anforderungen des § 25b KWG (Auslagerung von Aktivitäten und Prozessen). Im Vergleich zum Entwurf der BAIT vom 14. Juni 2017 werden die Anforderungen an externe IT-Dienstleister in der finalen Version deutlich herausgestellt und es lässt sich in den Risikoanalysen der BAIT eine deutlichere Fokussierung auf IT-Dienstleistungen von Dritten und deren Services erkennen. Die Schaffung erhöhter Risikotransparenz und die Auseinandersetzung mit dem IT-Risiko innerhalb des Instituts zieht sich wie ein roter Faden durch alle acht Themenmodule der BAIT. So sollen die BAIT das Risikobewusstsein in den Instituten (und besonders in den Führungsebenen) und gegenüber den Auslagerungsunternehmen verbessern. Die Aufsicht definiert als IT-Risiko „alle Risiken für die Vermögens- und Ertragslage der Institute, die aufgrund von Mängeln entstehen, die das IT-Management beziehungsweise die IT-Steuerung, die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität der Daten, das interne Kontrollsystem der IT-Organisation, die IT-Strategie, -Leitlinien und -Aspekte der Geschäftsordnung oder den Einsatz von Informationstechnologie betreffen.“ Weiterhin werden den Instituten die Erwartungen der Aufsicht an die Steuerung und Überwachung des IT-Betriebs inklusive des Berechtigungsmanagements, der Anforderungen an das IT-Projektmanagement und die Anwendungsentwicklung im Rahmen der BAIT transparent gemacht. Adressaten der BAIT sind – analog zu den MaRisk – die Geschäftsleitungen aller Kredit- und Finanzdienstleistungsinstitute mit Sitz in Deutschland. Die prinzipienorientierten Anforderungen der BAIT gewährleisten – analog zu den MaRisk – die Umsetzung des Prinzips der doppelten Proportionalität. Die in den MaRisk enthaltenen Anforderungen bleiben unberührt und werden durch die BAIT weiter konkretisiert. Festzuhalten bleibt, dass die in den BAIT ausgeführten Themenbereiche bezüglich Regelungstiefe und -umfang nicht abschließender Natur sind. Trotz der Klarstellungen verpflichten die BAIT jedes Institut auf Basis des § 25a Abs. 1 Satz 3 Nr. 4 KWG i. V. m. AT 7.2 Tz. 2 MaRisk dazu, bei der Ausgestaltung der IT-Systeme und der dazugehörigen IT-Prozesse grundsätzlich auf gängige Standards sowie auf den aktuellen Stand der Technik abzustellen (Tz. 2 der Vorbemerkungen). Besonders erwähnt werden die IT-Grundschutzkataloge des Bundesamts für Sicherheit in der Informationstechnik und der internationale Sicherheitsstandard ISO/IEC 2700X der International Organization for Standardization. Es sollten aber auch weitere Standards wie die IT Infrastructure Library (ITIL) und die anerkannten Frameworks zu „Control Objectives for Information and related Technology“ (COBIT) verwandt werden.

RISIKO MANAGER

 

Copyright Risiko Manager © 2004-2017. All Rights Reserved.