IT-Risiko: Schärfung des Risikobewusstseins der Banken

ERM
-
16. April 2018
-
Von Karl Dürselen, Hermann Schulte-Mattler

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 6. November 2017 die finale Fassung vom 3. November 2017 der Bankaufsichtlichen Anforderungen an die IT (BAIT) veröffentlicht. Die BAIT konkretisieren die Mindestanforderungen an das Risikomanagement (MaRisk) vor allem bezüglich der IT. Die Aufsicht stuft die BAIT als zentralen Baustein für die IT-Aufsicht im Bankensektor in Deutschland ein. Die BaFin hat angekündigt, dass sich Prüfungen nach § 44 KWG mit IT-Fokus ab 2018 an den BAIT orientieren werden.

Der Einsatz von Informationstechnik (IT) in den Instituten sowie die von Dienstleistern bereitgestellten IT-Services haben eine zentrale Bedeutung für die Finanzwirtschaft und werden weiter an Bedeutung gewinnen. Die Aufsicht verdeutlicht in ihrem Anschreiben zu den Bankaufsichtlichen Anforderungen an die IT (BAIT) bereits, dass sie die IT als Basisinfrastruktur für sämtliche bankfachlichen, aber auch für alle nichtbankfachlichen Prozesse in den Instituten ansieht. Sie hebt gesondert hervor, dass sie – angesichts einer globalisierten Finanzwelt – der IT-Governance und der Informationssicherheit sogar inzwischen den gleichen Stellenwert wie der Ausstattung der Institute mit Kapital und Liquidität beimisst.

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und die Deutsche Bundesbank haben seit 2016 mit Vertretern von Kreditinstituten und Verbänden insbesondere im „Fachgremium IT“ die Entwürfe der BAIT erörtert [Bundesanstalt für Finanzdienstleistungsaufsicht, 2017a]. Die Anmerkungen der Vertreter des Fachgremiums IT sowie Vorschläge im Rahmen der umfangreichen Stellungnahme der Deutschen Kreditwirtschaft (DK) wurden vielfach in den Konsultationsentwurf im Mai 2017 eingearbeitet. Nach Abschluss der Konsultationsphase konnten in einer weiteren Sitzung des Fachgremiums IT im Juni 2017 noch Verbesserungen in der Entwurfsfassung erzielt werden.

Aus Sicht der Aufsicht kodifizieren die BAIT keine neuen Anforderungen an die Institute und ihre IT-Dienstleister, sondern beinhalten nur Klarstellungen der bisher schon gültigen Regelungen. So spiegeln die Grundsätze und Anforderungen der BAIT die bereits seit Jahren praktizierte Auslegung der MaRisk im Rahmen der bankgeschäftlichen Prüfungen nach § 44 KWG durch die Aufsicht hinsichtlich der Informationstechnologie wider. Die Anforderungen, die sich aus den BAIT ergeben, sind daher größtenteils inhaltlich nicht vollkommen neu; sie sind aber den Instituten vielleicht bisher nicht so deutlich bekannt gewesen. 

Umsetzungsfristen oder Übergangsregelungen sieht die BAIT nicht vor. Die BaFin regelt im Anschreiben zu den BAIT, dass das Rundschreiben mit Veröffentlichung in Kraft tritt (also zum 6. November 2017). Daher sollen – nach Ansicht der BaFin – bereits im Rahmen der Jahresabschlussprüfung die Vorgaben der PrüfbV unter Einbeziehung der BAIT berücksichtigt werden. Im Folgenden werden nach Darstellung des Ziels und der Adressaten der BAIT die acht Anforderungen der BAIT in der Reihenfolge ihrer Themenmodule dargestellt.

(...)

[Den vollständigen Artikel lesen Sie in der Fachzeitschrift RISIKO MANAGER 04/2018. Die Ausgabe ist seit dem 28. März 2018 lieferbar und kann auch einzeln bezogen werden.]

Autoren:
Karl Dürselen ist Senior Manager und Trainer mit den Schwerpunkten Bankenaufsicht und Gesamtbanksteuerung sowie Lehrbeauftragter für Finanz- und Bankwirtschaft. 
Prof. Dr. Hermann Schulte-Mattler ist Professor für Betriebswirtschaftslehre insbesondere Finanzwirtschaft und Controlling an der FH Dortmund.

Artikelbild: ©mediaphotos – iStockphoto.com