Auslagerung - bankon

ZAIT – Regulatorik für Zahlungsinstitute und E‑Geld-Institute

Veröffentlicht am 15. Juni 202116. Juni 2021 von Ralf-Michael Jendro

„Früher oder später kriegen wir Euch alle“ mag die Finanzaufsicht (flapsig formuliert) gedacht haben, als sie mit den Zahlungsdienstaufsichtlichen Anforderungen an die IT (ZAIT) ihre aufsichtsrechtlichen Vorgaben auch auf Zahlungsinstitute und E‑Geld-Institute ausgedehnt hat.

Derzeit befinden sich die ZAIT in der Konsultation – jedoch ist nach Abschluss dieser unmittelbar mit einer Gültigkeit der ZAIT zu rechnen.

Unterstützt wird diese Annahme durch die Tatsache, dass die ZAIT das Kapitel „Kundenbeziehungen mit Zahlungsdienstnutzern“ formuliert, das nach der Konsultation auch Bestandteil der Bankenaufsichtlichen Anforderungen an die IT (BAIT) wird.

Die Begründung für die plakative Einleitung dieses Artikels gibt die Übersicht der aufsichtsrechtlichen Anforderungen, die seitens der Finanzaufsicht bisher vorgegeben wurden.

Wurden zu Beginn Banken und Versicherungen in den Mittelpunkt gerückt und entsprechende aufsichtsrechtliche Anforderungen für die sichere Ausgestaltung der IT-Systeme sowie der zugehörigen Prozesse und die Umsetzung der IT-Governance eingeführt, folgten bereits 2019 spezifische Anforderungen für Kapitalverwaltungsgesellschaften. Dazwischen wurde für besonders kritische IT-Systeme das KRITIS-Modul eingeführt. Im Jahr 2020 erfuhren die BAIT eine deutliche Erweiterung, die vor allem den Informationsverbund in den Mittelpunkt rückte und seine Definition gegenüber den bisher gültigen BAIT deutlich ausbaute.

Im Jahr 2021 befinden sich nun die ZAIT in der Konsultationsphase. Zunächst behandeln wir in diesem Artikel zwei Fragen:

Wen betreffen die ZAIT?
Wie unterscheiden sich die ZAIT von den anderen aufsichtsrechtlichen Anforderungen an die IT?

Wen betreffen die ZAIT?

Betroffen von den ZAIT sind Zahlungsinstitute und E‑Geld-Institute:

Zahlungsinstitute:
- Derzeit sind etwa 70 Zahlungsinstitute bei der Finanzaufsicht registriert
- Zahlungsinstitute betreiben gewerbsmäßig Zahlungsdienste wie z. B. Einzahlungs- oder Auszahlungsgeschäft, Lastschrift‑, Überweisungs- oder Zahlungskartengeschäft ohne Kreditgewährung oder Zahlungsgeschäft mit Kreditgewährung
- Auch Anbieter von Zahlungsauslösediensten oder Kontoinformationsdiensten zählen zu den Zahlungsinstituten
E‑Geld-Institute:
- Derzeit sind neun E‑Geld-Institute bei der Finanzaufsicht registriert
- E‑Geld-Institute begeben E‑Geld
- E‑Geld ist der elektronisch, darunter auch magnetisch, gespeicherte monetäre Wert in Form einer Forderung an den Emittenten, der gegen Zahlung eines Geldbetrags ausgestellt wird, um damit Zahlungsvorgänge im Sinne des BGB durchzuführen

Somit handelt es sich quantitativ um eine eher kleine Zahl betroffener Institute, für diese erfahren die vorgegebenen Anforderungen aber eine deutliche Anspruchssteigerung.

Was sind die Gemeinsamkeiten und Unterschiede der ZAIT zu anderen aufsichtsrechtlichen Anforderungen?

Auch der grundsätzliche Aufbau beider Dokumente ist in seiner Struktur nahezu identisch. Ebenso steht der Informationsverbund bei den ZAIT im Mittelpunkt der Betrachtungen. Aus beiden Anforderungsdokumenten heraus gilt für die Institute das Proportionalitätsprinzip in der Umsetzung der geforderten Maßnahmen.

Was unterscheidet die ZAIT von anderen regulatorischen Vorgaben wie z. B. den BAIT? Fünf Punkte fallen hier auf und sollen kurz betrachtet werden. Sie betreffen folgende Kapitel:

IT-Governance
Informationssicherheitsmanagement
IT-Projekte und Anwendungsentwicklung
Auslagerung und sonstiger Fremdbezug
Notfallmanagement

Im Zusammenhang mit der IT-Governance liegt die wesentliche Unterscheidung darin, dass eine Ausrichtung der IT an etablierten Standards zu erfolgen hat. Hier werden drei Standards explizit genannt (IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI), die internationalen Sicherheitsstandards ISO/IEC 270XX der International Organization for Standardization und der Payment Card Industry Data Security Standard (PCIDSS)).

Im Informationssicherheitsmanagement besteht die Möglichkeit, die Funktion des Informationssicherheitsbeauftragten mit anderen Funktionen im Unternehmen zu kombinieren oder, in besonderen Fällen, auch außerhalb des Unternehmens anzusiedeln.

Für IT-Projekte und Anwendungsentwicklung gibt es explizite Anforderungen an die durchzuführende Auswirkungsanalyse und die Nutzung des Begriffs „wesentliche Veränderung“ im Zusammenhang mit Vorgaben für die Testdurchführung.

Das Kapitel Auslagerung und sonstiger Fremdbezug enthält deutlich umfangreichere Anforderungen in den ZAIT als in den BAIT, die es zu berücksichtigen gilt.

Im Notfallmanagement wird die Notwendigkeit zur Durchführung von Auswirkungsanalysen und Risikoanalysen gefordert.

Erste Schritte für Zahlungsinstitute mit den ZAIT:

In einem ersten Schritt gilt es für die Zahlungsinstitute und die E‑Geld-Institute, ihre individuelle Ausgangssituation vor dem Hintergrund der ZAIT zu kennen. Nur dann lässt sich der erforderliche Handlungsbedarf identifizieren.

Vorrangig gilt es, einen Überblick über das eigene Institut, die genutzten Auslagerungen sowie die Zahlungsdienstnutzer zu erhalten. Dieses schließt auch den Informationsverbund ein, der ein Nukleus der ZAIT ist.

Inhaltlich stehen fünf Handlungsfelder im Mittelpunkt der Erhebung.

In welchem Umfang sind bereits Vorbefassungen zu Regulatorikanforderungen im Institut erfolgt, z. B. durch eine interne Erstanalyse oder die Jahresabschlussprüfung des Wirtschaftsprüfers?
Wie steht es um die Governance des Instituts, z. B. in Bezug auf eine durchgängige und dokumentierte strategische Ausrichtung oder ein etabliertes internes Kontroll- und Prüfungswesen?
Wird heute bereits auf etablierte Standards zurückgegriffen, auch über die in der ZAIT genannten hinaus, z. B. ITIL oder Cobit?
Wie transparent sind die bestehenden Auslagerungen technisch und organisatorisch und in welcher Form sind diese in Kontrollprozesse eingebunden?
Welchen Stand hat die personelle und technische Ausstattung des Instituts quantitativ und qualitativ?

Die Ermittlung der Ausgangssituation kann mittels eines Quick-Checks erfolgen, um auf Grundlage dieser Informationen einen Überblick über den erforderlichen Handlungsbedarf zu erhalten und eine Indikation für die Ausgestaltung des Proportionalitätsprinzips zu gewinnen.

In einer Ausbaustufe kann sich eine Reifegradanalyse anschließen, für die es sich empfiehlt, diese bereits an einen etablierten Standard auszurichten, z. B. der ISO 27000-Reihe.

Neben der inhaltlichen Analyse zu den Kriterien des Standards ermöglicht ein solches Vorgehen auch eine Visualisierung für das Management.

Expertise bankon Management Consulting

Die Expertise der bankon-Berater aus mehr als fünfzehn Jahren Erfahrung aus Projekten im Kontext der Banken-IT sichert praxiserprobtes Wissen. Erfahrungen aus einer Vielzahl von Regulatorikprojekten bei Finanzdienstleistern gewährleisten die Sicherstellung von Governance- und Regulatorik-Anforderungen. Langjährige Praxisexpertise aus Projekt- und Linientätigkeit bei Zahlungsinstituten schaffen den erforderlichen fachlichen, prozessualen und technischen Hintergrund.

Nutzen Sie unsere umfangreichen Erfahrungen und sprechen Sie mit uns:

bankon Management Consulting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
http://www .bankon.de
E‑Mail: research@bankon.de

6. MaRisk-Novelle Änderungen AT 9 wesentliche Auslagerung für Sparkassen

Veröffentlicht am 16. Februar 202116. Februar 2021 von Alexander Gniewkowski

Herausforderungen für nicht systemrelevante Kreditinstitute

bankon berät seit Jahren seine Kunden in Banken und Sparkassen bei der Bewältigung von regulatorischen Herausforderungen, die weiterhin mit einer nicht endenden Dynamik die Organisations- und Prozessstrukturen der Häuser treffen. Wir beobachten für unsere Kunden die regulatorischen Entwicklungen und sind zu einem frühen Zeitpunkt nah an den Aufsichtsbehörden und deren Anforderungsentwicklungen dran. Aktuell sind die Arbeiten der BaFin und der Sparkassen zum Thema der 6. MaRisk-Novelle Änderungen AT 9 ‑Auslagerung- in vollem Gange. So bewerten wir für die Sparkassen die sich nunmehr konkretisierenden Anforderungen an das Outsourcing- und Auslagerungsmanagement, die Providersteuerung sowie das Risikomanagement.

Für die Sparkassen, die nicht der europäischen Bankenaufsicht unterliegen, treten die EBA-Leitlinien/neuen Outsourcing-Standards erst mit Überführung in nationales Recht in Kraft. Die Überführung erfolgt seitens der BaFin über die Novelle des Moduls AT 9 der MaRisk (6. MaRisk-Novelle). Dieser Prozess startete im Herbst 2020 und wird im Jahr 2021 mit Hochdruck weiterverfolgt.

Sich verändernde Themen und Rahmenbedingungen für die Sparkassen werden hier von bankon nur exemplarisch benannt:

Ausdifferenzierung in der Kategorisierung von großen/komplexen vs. kleinerer/weniger komplexer Institute im Sinne der MaRisk-Novellierung
Parameter zur Gestaltung Risikoanalyse und Ergänzung einer Szenarioanalyse (qualitative Ansätze vs. interne und externe Verlustdatensammlung)
Konkretisierung Rolle zentraler Auslagerungsbeauftragter und weiterer Rollen wie z. B. Revision
Gestaltungsspielräume für zentrale Erleichterungen nutzbar gestalten (gemeinsame Notfallpläne, Auslagerungsregister, etc.)
Gestaltung und Nutzung von Auslagerungsmusterverträgen

Die deutschen Sparkassen haben unter der Regie des Spitzenverbandes DSGV und der Regionalverbände reagiert und haben Ende 2020 ein Projekt mit dem Ziel aufgesetzt, Rahmenbedingungen, Vorgaben und Hilfsmittel zur Umsetzung der Vorgaben aus der 6. Novelle für ihre Mitgliedsinstitute zu entwickeln und diese in der Folge nutzbar für die Häuser zu gestalten.

Der DGSV und die Regionalverbände stellen bereits heute und in überarbeiteter Form zukünftig den Sparkassen zentral Handbücher, Instrumente/Tools zum Auslagerungsmanagement sowie einen Auslagerungsmustervertrag über die Kanäle wie z. B. InDok+ und den Umsetzungsbaukasten zur Verfügung. Darüber hinaus können die Sparkassen im Rahmen eines indirekten Steuerungsansatzes sog. „Wertungshilfen“ für Dienstleister über die Regionalverbände in Anspruch nehmen.

Die Sparkassen müssen heute und auch nach der Novellierung in Eigenverantwortung die Maßnahmen und Aktivitäten zum Auslagerungsmanagement umsetzen.

Dabei werden die Sparkassen autark entscheiden müssen, in welchem Umfang sie auf die zentralen Empfehlungen und Instrumente/Tools der Verbandsseite zurückgreifen. Juristische und kaufmännische Bewertungen sowie Risikoaspekte werden von den Sparkassen weiterhin individuell verantwortet werden müssen.

Die Gesamtverantwortung für das Auslagerungsmanagement verbleibt auch nach er 6. Novelle der MaRisk AT 9 bei der jeweiligen Sparkasse. Eine vollständige Verlagerung der Verantwortung auf eine zentrale Steuerungseinheit ist mit großer Wahrscheinlichkeit nicht möglich.

Demnach müssen alle Sparkassen in Deutschland nach der Beendigung der vorbereitenden Verbandsprojekte, die Umsetzung der 6. MaRisk-Novelle Änderungen AT 9 aktiv gestalten, die zentral vorgegebenen Empfehlungen ihres Spitzenverbands bewerten und mit Blick auf die Individualität ihres Hauses die Nutzung jeweils umsetzen.

Gerne helfen wir Ihnen bei der Bewertung, der Umsetzungsentscheidung und der operativen Implementierung der notwendigen Methoden und Prozesse und schaffen somit gemeinsam die optimale Ausrichtung Ihres Hauses auf die regulatorischen Anforderungen.

Die Expertise der bankon-Berater aus mehr als fünfzehn Jahren Erfahrung mit Projekten im Kontext der MaRisk sichert praxiserprobtes Wissen. Umfangreiche Kenntnis von Organisationsstrukturen, Prozessen und IT-Systemen deutscher Sparkassen gewährleisten den erforderlichen fachlichen und technischen Background.

Nutzen Sie unsere umfangreichen Erfahrungen und sprechen Sie mit uns:

bankon Management Consulting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
http://www .bankon.de
E‑Mail: research@bankon.de

Sourcing: Was ist die Erfolgsformel für ein erfolgreiches Outsourcing des IT-Betriebes?

Veröffentlicht am 4. April 201912. Februar 2021 von Steffen Rummel

Viel wird über mögliche positive Effekte eines IT-Outsourcings geschrieben: Einsparung an Zeit, Ressourcen und Finanzen, volle Transparenz der Kosten und Leistungen, Wettbewerbsvorsprung durch regelmäßige Weiterentwicklung usw., um nur einige Punkte zu nennen.

Bis diese Sourcing-Ziele jedoch wirklich erreicht werden, gibt es eine Reihe kritischer Erfolgsfaktoren, die mögliche positive Effekte direkt oder indirekt beeinflussen. Unsere Praxiserfahrungen aus der Begleitung diverser Auslagerungsprozesse zeigen ganz deutlich, dass vor allem ein eigenes Meinungsbild bzgl. auszulagernder Services und die frühe Einleitung von strukturellen bzw. organisatorischen Veränderungen, verbunden mit offener Kommunikation, als wichtige Bestandteile eines erfolgreichen Sourcing gelten.

Viele Auslagerungsprozesse und deren Auswirkungen werden häufig in Ihrer Komplexität unterschätzt, da Ergebnisse, die im Rahmen der Sourcing-Vorbereitung angegangen werden sollten, meist erst in einer späteren Projektphase bearbeitet werden. Dies führt dann häufig zu Verzögerungen und damit auch zu einer Kostenerhöhung.

Wie definiert sich nun der Zustand „Sourcing ready” für eine Organisation bzw. welche Ergebnisse werden im Rahmen der Sourcing-Vorbereitung erstellt?

Ein entsprechender Reifegrad der Serviceprozesse und sich daraus ableitende Anforderungen an Services und Rollen sind ein wichtiger Gradmesser. Neben der prozessualen Komponente ist auch die klare Formulierung der Anforderungen in Form eines Servicekataloges und ein frühzeitiger Informationsaustausch mit dem „richtigen” Anbieter wichtig. Betroffene Mitarbeiter sind frühzeitig bzgl. möglicher Auswirkungen auf deren Arbeitsfelder zu informieren und an der Erarbeitung notwendiger Änderungen (Prozesse, Verantwortlichkeiten, Rollenverständnis, Kultur) zu beteiligen. Als kritischer Erfolgsfaktor gilt auch die Beachtung regulatorischer Anforderungen (z. B.: Auslagerungsmanagement), die v. a. nach der Transitionsphase eine wichtige Rolle einnehmen.

Eine gesamtheitliche Betrachtung aller vom Sourcing abhängigen Bausteine, verbunden mit einem tiefgreifenden bankfachlichen und technischen Verständnis, sind wichtige Voraussetzungen für eine effiziente Durchführung und Begleitung des Auslagerungsprozesses, um die avisierten Sourcing-Ziele zu erreichen.

Nutzen Sie unsere umfangreichen Erfahrungen und sprechen Sie mit uns:

bankon Management Consulting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
http://www .bankon.de
E‑Mail: research@bankon.de

Schlagwort: Auslagerung

ZAIT – Regulatorik für Zahlungsinstitute und E‑Geld-Institute

6. MaRisk-Novelle Änderungen AT 9 wesentliche Auslagerung für Sparkassen

Herausforderungen für nicht systemrelevante Kreditinstitute

Sourcing: Was ist die Erfolgsformel für ein erfolgreiches Outsourcing des IT-Betriebes?

Neueste News und Artikel

Archiv

Sie finden uns auch hier:

Herausforderungen für nicht systemrelevante Kreditinstitute

Neueste News und Artikel

Archiv

Schlagwörter

Sie finden uns auch hier: