Schlagwort: ISO

Geld

ZAIT – Regulatorik für Zahlungsinstitute und E‑Geld-Institute

„Frü­her oder spä­ter krie­gen wir Euch alle“ mag die Finanz­auf­sicht (flap­sig for­mu­liert) gedacht haben, als sie mit den Zah­lungs­dienst­auf­sicht­li­chen Anfor­de­run­gen an die IT (ZAIT) ihre auf­sichts­recht­li­chen Vor­ga­ben auch auf Zah­lungs­in­sti­tu­te und E‑Geld-Insti­tu­te aus­ge­dehnt hat.

Der­zeit befin­den sich die ZAIT in der Kon­sul­ta­ti­on – jedoch ist nach Abschluss die­ser unmit­tel­bar mit einer Gül­tig­keit der ZAIT zu rechnen.

Unter­stützt wird die­se Annah­me durch die Tat­sa­che, dass die ZAIT das Kapi­tel „Kun­den­be­zie­hun­gen mit Zah­lungs­dienst­nut­zern“ for­mu­liert, das nach der Kon­sul­ta­ti­on auch Bestand­teil der Ban­ken­auf­sicht­li­chen Anfor­de­run­gen an die IT (BAIT) wird.

Die Begrün­dung für die pla­ka­ti­ve Ein­lei­tung die­ses Arti­kels gibt die Über­sicht der auf­sichts­recht­li­chen Anfor­de­run­gen, die sei­tens der Finanz­auf­sicht bis­her vor­ge­ge­ben wurden.

ZAIT 1 RJO

Wur­den zu Beginn Ban­ken und Ver­si­che­run­gen in den Mit­tel­punkt gerückt und ent­spre­chen­de auf­sichts­recht­li­che Anfor­de­run­gen für die siche­re Aus­ge­stal­tung der IT-Sys­te­me sowie der zuge­hö­ri­gen Pro­zes­se und die Umset­zung der IT-Gover­nan­ce ein­ge­führt, folg­ten bereits 2019 spe­zi­fi­sche Anfor­de­run­gen für Kapi­tal­ver­wal­tungs­ge­sell­schaf­ten. Dazwi­schen wur­de für beson­ders kri­ti­sche IT-Sys­te­me das KRI­TIS-Modul ein­ge­führt. Im Jahr 2020 erfuh­ren die BAIT eine deut­li­che Erwei­te­rung, die vor allem den Infor­ma­ti­ons­ver­bund in den Mit­tel­punkt rück­te und sei­ne Defi­ni­ti­on gegen­über den bis­her gül­ti­gen BAIT deut­lich ausbaute.

Im Jahr 2021 befin­den sich nun die ZAIT in der Kon­sul­ta­ti­ons­pha­se. Zunächst behan­deln wir in die­sem Arti­kel zwei Fragen:

  • Wen betref­fen die ZAIT?
  • Wie unter­schei­den sich die ZAIT von den ande­ren auf­sichts­recht­li­chen Anfor­de­run­gen an die IT?

Wen betref­fen die ZAIT?

Betrof­fen von den ZAIT sind Zah­lungs­in­sti­tu­te und E‑Geld-Insti­tu­te:

  • Zah­lungs­in­sti­tu­te:
    • Der­zeit sind etwa 70 Zah­lungs­in­sti­tu­te bei der Finanz­auf­sicht registriert
    • Zah­lungs­in­sti­tu­te betrei­ben gewerbs­mä­ßig Zah­lungs­diens­te wie z. B. Ein­zah­lungs- oder Aus­zah­lungs­ge­schäft, Lastschrift‑, Über­wei­sungs- oder Zah­lungs­kar­ten­ge­schäft ohne Kre­dit­ge­wäh­rung oder Zah­lungs­ge­schäft mit Kreditgewährung
    • Auch Anbie­ter von Zah­lungs­aus­lö­se­diens­ten oder Kon­to­in­for­ma­ti­ons­diens­ten zäh­len zu den Zahlungsinstituten
  • E‑Geld-Insti­tu­te:
    • Der­zeit sind neun E‑Geld-Insti­tu­te bei der Finanz­auf­sicht registriert
    • E‑Geld-Insti­tu­te bege­ben E‑Geld
    • E‑Geld ist der elek­tro­nisch, dar­un­ter auch magne­tisch, gespei­cher­te mone­tä­re Wert in Form einer For­de­rung an den Emit­ten­ten, der gegen Zah­lung eines Geld­be­trags aus­ge­stellt wird, um damit Zah­lungs­vor­gän­ge im Sin­ne des BGB durchzuführen

Somit han­delt es sich quan­ti­ta­tiv um eine eher klei­ne Zahl betrof­fe­ner Insti­tu­te, für die­se erfah­ren die vor­ge­ge­be­nen Anfor­de­run­gen aber eine deut­li­che Anspruchssteigerung.

Was sind die Gemein­sam­kei­ten und Unter­schie­de der ZAIT zu ande­ren auf­sichts­recht­li­chen Anforderungen?

Auch der grund­sätz­li­che Auf­bau bei­der Doku­men­te ist in sei­ner Struk­tur nahe­zu iden­tisch. Eben­so steht der Infor­ma­ti­ons­ver­bund bei den ZAIT im Mit­tel­punkt der Betrach­tun­gen. Aus bei­den Anfor­de­rungs­do­ku­men­ten her­aus gilt für die Insti­tu­te das Pro­por­tio­na­li­täts­prin­zip in der Umset­zung der gefor­der­ten Maßnahmen.

Was unter­schei­det die ZAIT von ande­ren regu­la­to­ri­schen Vor­ga­ben wie z. B. den BAIT? Fünf Punk­te fal­len hier auf und sol­len kurz betrach­tet wer­den. Sie betref­fen fol­gen­de Kapitel:

  • IT-Gover­nan­ce
  • Infor­ma­ti­ons­si­cher­heits­ma­nage­ment
  • IT-Pro­jek­te und Anwendungsentwicklung
  • Aus­la­ge­rung und sons­ti­ger Fremdbezug
  • Not­fall­ma­nage­ment

Im Zusam­men­hang mit der IT-Gover­nan­ce liegt die wesent­li­che Unter­schei­dung dar­in, dass eine Aus­rich­tung der IT an eta­blier­ten Stan­dards zu erfol­gen hat. Hier wer­den drei Stan­dards expli­zit genannt (IT-Grund­schutz des Bun­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI), die inter­na­tio­na­len Sicher­heits­stan­dards ISO/IEC 270XX der Inter­na­tio­nal Orga­niza­ti­on for Stan­dar­diza­ti­on und der Pay­ment Card Indus­try Data Secu­ri­ty Stan­dard (PCIDSS)).

Im Infor­ma­ti­ons­si­cher­heits­ma­nage­ment besteht die Mög­lich­keit, die Funk­ti­on des Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten mit ande­ren Funk­tio­nen im Unter­neh­men zu kom­bi­nie­ren oder, in beson­de­ren Fäl­len, auch außer­halb des Unter­neh­mens anzusiedeln.

Für IT-Pro­jek­te und Anwen­dungs­ent­wick­lung gibt es expli­zi­te Anfor­de­run­gen an die durch­zu­füh­ren­de Aus­wir­kungs­ana­ly­se und die Nut­zung des Begriffs „wesent­li­che Ver­än­de­rung“ im Zusam­men­hang mit Vor­ga­ben für die Testdurchführung.

Das Kapi­tel Aus­la­ge­rung und sons­ti­ger Fremd­be­zug ent­hält deut­lich umfang­rei­che­re Anfor­de­run­gen in den ZAIT als in den BAIT, die es zu berück­sich­ti­gen gilt.

Im Not­fall­ma­nage­ment wird die Not­wen­dig­keit zur Durch­füh­rung von Aus­wir­kungs­ana­ly­sen und Risi­ko­ana­ly­sen gefordert. 

Ers­te Schrit­te für Zah­lungs­in­sti­tu­te mit den ZAIT:

In einem ers­ten Schritt gilt es für die Zah­lungs­in­sti­tu­te und die E‑Geld-Insti­tu­te, ihre indi­vi­du­el­le Aus­gangs­si­tua­ti­on vor dem Hin­ter­grund der ZAIT zu ken­nen. Nur dann lässt sich der erfor­der­li­che Hand­lungs­be­darf identifizieren.

Vor­ran­gig gilt es, einen Über­blick über das eige­ne Insti­tut, die genutz­ten Aus­la­ge­run­gen sowie die Zah­lungs­dienst­nut­zer zu erhal­ten. Die­ses schließt auch den Infor­ma­ti­ons­ver­bund ein, der ein Nukle­us der ZAIT ist.

Inhalt­lich ste­hen fünf Hand­lungs­fel­der im Mit­tel­punkt der Erhebung.

ZAIT 2 RJO
  1. In wel­chem Umfang sind bereits Vor­be­fas­sun­gen zu Regu­la­to­ri­k­an­for­de­run­gen im Insti­tut erfolgt, z. B. durch eine inter­ne Erst­ana­ly­se oder die Jah­res­ab­schluss­prü­fung des Wirtschaftsprüfers?
  2. Wie steht es um die Gover­nan­ce des Insti­tuts, z. B. in Bezug auf eine durch­gän­gi­ge und doku­men­tier­te stra­te­gi­sche Aus­rich­tung oder ein eta­blier­tes inter­nes Kon­troll- und Prüfungswesen?
  3. Wird heu­te bereits auf eta­blier­te Stan­dards zurück­ge­grif­fen, auch über die in der ZAIT genann­ten hin­aus, z. B. ITIL oder Cobit?
  4. Wie trans­pa­rent sind die bestehen­den Aus­la­ge­run­gen tech­nisch und orga­ni­sa­to­risch und in wel­cher Form sind die­se in Kon­troll­pro­zes­se eingebunden?
  5. Wel­chen Stand hat die per­so­nel­le und tech­ni­sche Aus­stat­tung des Insti­tuts quan­ti­ta­tiv und qualitativ?

Die Ermitt­lung der Aus­gangs­si­tua­ti­on kann mit­tels eines Quick-Checks erfol­gen, um auf Grund­la­ge die­ser Infor­ma­tio­nen einen Über­blick über den erfor­der­li­chen Hand­lungs­be­darf zu erhal­ten und eine Indi­ka­ti­on für die Aus­ge­stal­tung des Pro­por­tio­na­li­täts­prin­zips zu gewinnen.

In einer Aus­bau­stu­fe kann sich eine Rei­fe­grad­ana­ly­se anschlie­ßen, für die es sich emp­fiehlt, die­se bereits an einen eta­blier­ten Stan­dard aus­zu­rich­ten, z. B. der ISO 27000-Reihe.

Neben der inhalt­li­chen Ana­ly­se zu den Kri­te­ri­en des Stan­dards ermög­licht ein sol­ches Vor­ge­hen auch eine Visua­li­sie­rung für das Management.

ZAIT 5 RJO

Exper­ti­se ban­kon Manage­ment Consulting

Die Exper­ti­se der ban­kon-Bera­ter aus mehr als fünf­zehn Jah­ren Erfah­rung aus Pro­jek­ten im Kon­text der Ban­ken-IT sichert pra­xis­er­prob­tes Wis­sen. Erfah­run­gen aus einer Viel­zahl von Regu­la­to­rik­pro­jek­ten bei Finanz­dienst­leis­tern gewähr­leis­ten die Sicher­stel­lung von Gover­nan­ce- und Regu­la­to­rik-Anfor­de­run­gen. Lang­jäh­ri­ge Pra­xis­exper­ti­se aus Pro­jekt- und Lini­en­tä­tig­keit bei Zah­lungs­in­sti­tu­ten schaf­fen den erfor­der­li­chen fach­li­chen, pro­zes­sua­len und tech­ni­schen Hintergrund.

Gewinner-Verlierer

Deutscher Bankensektor: Quo vadis? – Gewinner oder Verlierer

Ver­än­de­run­gen im Ban­ken­markt – Sta­tus quo

Immer mehr regu­la­to­ri­sche Vor­schrif­ten (BAIT, EBA, ISO, MaRisk, BSI, Basel usw.), tech­no­lo­gi­sche Trends (FinTechs, Digi­ta­li­sie­rung …) und der Wan­del in ein bran­chen­über­grei­fen­des Öko­sys­tem sind wesent­li­che Trei­ber aktu­el­ler Ver­än­de­run­gen im Ban­ken­markt. Die Grund­satz­fra­ge nach der zukünf­ti­gen Rol­le von Ban­ken in einer digi­ta­len Welt beein­flusst die Aus­rich­tung des Geschäfts­mo­dells glei­cher­ma­ßen wie Inves­ti­tio­nen in die Ban­ken­ar­chi­tek­tur. Dabei wird dar­auf zu ach­ten sein, dass der Fokus nicht nur im „RUN the bank“ liegt, son­dern vor allem im „CHANGE the bank“. Das zukünf­ti­ge Ange­bot ori­en­tiert sich hier­bei sehr stark an den Bedürf­nis­sen von Kun­den, Mitarbeitern/Mitarbeiterinnen, Part­nern und Wett­be­wer­bern. Die Erfül­lung der Erwar­tun­gen unter­schied­li­cher Ziel­grup­pen (v. a. Fir­men­kun­den und Pri­vat­kun­den) ste­hen hier­bei im Mittelpunkt.

Erfolgsfaktoren
Erfolgs­fak­to­ren

Was sind nun wich­ti­ge Erfolgsfaktoren?

Die zukünf­ti­gen Geschäfts­mo­del­le der Ban­ken soll­ten auf fol­gen­de The­men ent­spre­chen­de Ant­wor­ten haben:

  • Bedürf­nis­se der Kun­den ken­nen, ver­ste­hen und die pas­sen­den Pro­duk­te und Ser­vices anbie­ten. Ein sen­si­bler Umgang mit Daten, der Mut zur Nut­zung von Inno­va­tio­nen und die Zusam­men­ar­beit mit FinTechs sind dabei wich­ti­ge Erfolgs­fak­to­ren. Das Ange­bot in der Filia­le wird dabei immer mehr durch Funk­tio­nen in der Smart­phone App abgelöst.
  • Neben der Umset­zung von regu­la­to­ri­schen Vor­ga­ben geht es immer mehr um die Öff­nung der Ban­ken nach außen. Die Nut­zung der Inno­va­ti­ons­kraft neu­er Anbie­ter im Markt durch FinTechs oder GAFAs kann sich durch­aus posi­tiv aus­wir­ken. Neue Anbie­ter stel­len die Inter­es­sen und Gewohn­hei­ten der Kun­den häu­fig anders in den Mittelpunkt.
  • Die Trans­for­ma­ti­on der Ban­ken-IT in eine modu­la­re Inno­va­tions-IT mit immer kür­ze­ren Update­zy­klen muss mit der wach­sen­den Regu­la­to­rik und den zuneh­men­den Kun­den­er­war­tun­gen Schritt hal­ten. Dies eröff­net zudem Mög­lich­kei­ten, neue Ertrags­quel­len zu erschließen.
  • Betrach­tet man die ope­ra­ti­ve Kos­ten­si­tua­ti­on der Ban­ken, sind die Belas­tun­gen trotz unver­meid­ba­rer regu­la­to­ri­scher Inves­ti­tio­nen in den letz­ten Jah­ren nur leicht gestie­gen. Die Eigen­ka­pi­tal­ren­di­te deut­scher Ban­ken liegt im inter­na­tio­na­len Ver­gleich dage­gen auf einem sehr nied­ri­gen Niveau. Der aktu­el­le Kon­so­li­die­rungs­kurs im Ban­ken­sek­tor wird sich wei­ter ver­stär­ken. Dabei wer­den sich zen­tra­le Pro­dukt- und Platt­form­an­bie­ter für spe­zi­fi­sche kun­den- und markt­re­le­van­te The­men her­aus­kris­tal­li­sie­ren. Zusätz­lich wird es eine wei­te­re Ver­schmel­zung von IT-Dienst­leis­tern sowie eine Kon­so­li­die­rung von Markt­fol­ge­tä­tig­kei­ten geben. Zudem lässt sich auch die Bil­dung von sog. Kom­pe­tenz­zen­tren in Ver­bün­den beobachten.
  • Ein wei­te­rer wich­ti­ger Fak­tor ist die Ver­än­de­rungs­be­reit­schaft. Der Kul­tur­wan­del bzw. die Ver­än­de­run­gen und deren Akzep­tanz soll­te von gestal­te­ri­schem Han­deln von­sei­ten des Bank­ma­nage­ments geprägt sein.

Sicher­lich gibt es noch wei­te­re Fak­to­ren, die hier genannt wer­den kön­nen. Der ein­ge­setz­te Trend lässt sich jedoch ein­deu­tig erken­nen. Die­ser wird auch noch deut­lich an Fahrt zunehmen.

Wer sind nun die Gewin­ner bzw. Verlierer?

Betrach­tet man die Mög­lich­kei­ten der Markt­po­si­tio­nie­rung, bil­den sich unter­schied­li­che Ent­wick­lungs­sze­na­ri­en her­aus. Ein Schwer­punkt liegt hier bei der Fokus­sie­rung auf eine bestimm­te Regi­on oder in der Kon­zen­tra­ti­on auf ein spe­zi­el­les Pro­dukt. Bei die­sem Sze­na­rio wer­den die Geschäfts­mo­del­le adap­tiert. Loka­len Ban­ken steht hier die Mög­lich­keit offen, die geo­gra­phi­sche Nähe zum Kun­den aus­zu­spie­len. Durch die regio­na­le Ver­an­ke­rung bie­ten Sie ein umfas­sen­des Pro­dukt­an­ge­bot an. Die Bank besetzt hier die wich­ti­ge Kun­den­schnitt­stel­le und bin­det ande­re Dienst­leis­ter und Anbie­ter an. Dane­ben bleibt die Mög­lich­keit, sich über ein spe­zi­fi­sches Pro­dukt oder Dienst­leis­tungs­an­ge­bot am Markt zu posi­tio­nie­ren. Loka­le und über­re­gio­na­le Ban­ken haben hier ver­gleich­ba­re Ansät­ze und tre­ten in eine Kon­kur­renz­si­tua­ti­on. Ban­ken ohne regio­na­le Ver­an­ke­rung oder eine ent­spre­chen­de Posi­tio­nie­rung als Anbie­ter wer­den im Wett­be­werb frü­her oder spä­ter der fort­schrei­ten­den Kon­so­li­die­rung zum Opfer fallen.

Betrach­ten wir nun die Bezie­hung zwi­schen der tra­di­tio­nel­len Bank und den Kun­den. Hier kommt es zu einem schnel­len und nach­hal­ti­gen Durch­bruch neu­er Tech­no­lo­gien, die von Kun­den­sei­te genutzt wer­den. Ein nach­hal­ti­ger Nut­zen wird erreicht, wenn ein Anbie­ter einem Kun­den ein opti­ma­les Ange­bot erstellt, erklärt und lie­fert. Je bes­ser die tech­no­lo­gi­schen Mög­lich­kei­ten genutzt wer­den, umso ein­fa­cher kann es für den Kun­den sein. So ist bei vie­len Dienst­leis­tun­gen, z. B. im Zah­lungs­ver­kehr, kein Kun­den­kon­takt not­wen­dig. Alter­na­tiv kann sich die Bank als Anbie­ter für Pro­duk­te posi­tio­nie­ren, die aus Risi­ko­sicht nicht über Platt­for­men ange­bo­ten wer­den (z. B. Finan­zie­run­gen). Die Rol­le der Bank als Risi­ko­part­ner ist vor allem für über­re­gio­na­le Ban­ken auf­grund der Diver­si­fi­zie­rung inter­es­sant. Wenn es dann noch gelingt, Ska­len­vor­tei­le nut­zen zu kön­nen, sind die Vor­aus­set­zun­gen schon viel­ver­spre­chend. Wich­tig hier­bei wird jedoch sein, das Pro­dukt­an­ge­bot wei­ter zu erneu­ern und den Kun­den­nut­zen wei­ter­hin im Blick zu haben. Die Kun­den­nä­he, die nach tra­di­tio­nel­ler Art immer durch eine vor Ort-Prä­senz defi­niert wur­de, wird immer mehr durch die Digi­ta­li­sie­rung zurückgedrängt.

Durch eine Viel­zahl erfolg­rei­cher Pro­jek­te ken­nen wir die kri­ti­schen Erfolgs­fak­to­ren auf der stra­te­gi­schen und der ope­ra­ti­ven Ebe­ne und ver­fü­gen über umfang­rei­che Erfah­run­gen bei der Aus­rich­tung des Geschäfts­mo­dells bzw. der Errei­chung der gewünsch­ten Positionierung.

Ger­ne sichern wir Ihren Pro­jekt­er­folg mit unse­rer Metho­den- und Umset­zungs­kom­pe­tenz in die­sem kom­ple­xen The­men­um­feld, damit die Bewer­tung der Zukunfts­trends wie­der aus­ge­gli­chen ist.