Digitalisierung Risikomanagement/-systeme Banken – Antwort auf zunehmende Bedrohungen durch Cyber-Risiken und steigende Kosten durch IT-Compliance
Modernes Banking ist digital. Eine leistungsstarke IT-Plattform und effiziente IT-Prozesse sind der Erfolgstreiber für die Geschäftsmodelle der Zukunft. Die Anforderungen an das IT-Management der Banken sind immens. Neben strikter Kostenkontrolle rücken angesichts der Bedrohung durch Cyber-Angriffe Informationssicherheit und IT-Risikomanagement in den Fokus. Die Institute sehen sich mit immer strengeren, zunehmend technischen regulatorischen Vorgaben (BAIT, EBA, MaRisk, ISO 27000) und strikterer Auslegung sowie effektiven Umsetzungskontrollen im Rahmen von Sonderprüfungen konfrontiert. Entscheider im IT-Management benötigen daher zukünftig „auf Knopfdruck“ vollständige Transparenz über das aktuelle IT-Risiko bzw. die Gefährdungssituation ihrer Organisationen als Gesamtüberblick mit Wechselwirkungen, Abhängigkeiten, Redundanzen, gemappt auf die aktuell gültigen Vorgaben, um effektiv steuern zu können. Der Impact von Veränderungen regulatorischer Rahmenbedingungen sollte sofort sichtbar und effektive Maßnahmen zur Umsetzung der neuen Vorgaben und Mitigation der institutsspezifischen Risikoposition ableitbar sein. Aufgrund der herrschenden Komplexität der IT-Strukturen der Häuser und der anwendbaren Regulierung bietet ein digitales Framework „Digital Regulatory Compliance“, DIRC, mit leistungsstarker Softwareunterstützung (Plattformtechnologie) hierbei erhebliche Effizienzvorteile.
Ein aktueller Fachbeitrag von bankon Management Consulting GmbH & Co. KG zusammen mit finleap connect GmbH und der finleap Tochter 42Stages GmbH als RegTech-Spezialist in der Fachzeitschrift „die bank“ beschreibt die zunehmenden Herausforderungen für Banken durch Cyber-Risiken sowie steigende regulatorische Anforderungen und zeigt praxiserprobte digitale Lösungsansätze (Link):
Fazit und Ausblick Die Digitalisierung der IT-Compliance ist für Banken unverzichtbar. Nur durch intelligenten Einsatz von Plattformtechnologie können die Kostensynergien geschaffen werden, die langfristig die Rentabilität und Wettbewerbsfähigkeit der Institute sichern. Der Erfolg liegt in der Kombination von Bankfachlichkeit und Technologie. Ein Framework wie DIRC kann die effiziente Umsetzung unterstützten.
Die Digitalisierung steht auch im Bereich IT-Compliance erst am Anfang ihrer Möglichkeiten. Mittelfristig ist davon auszugehen, dass das DIRC-Framework um eine weitere Ebene „Profiling“ erweitert wird. Durch Einsatz von Mustererkennung und künstlicher Intelligenz (KI) sollen organisatorische Schwachstellen frühzeitig identifiziert und vorausschauend Risiken z. B. aus veränderten regulatorischen Rahmenbedingungen eingeschätzt werden können.
Nutzen Sie unsere umfangreichen Erfahrungen und sprechen Sie mit uns:
Patrick Giesen begleitete als Prüfer und Berater viele Banken im Kontext von Aufsichtsprüfungen, war CISO und GW-Beauftragter und entwickelt das hier vorgestellte Framework.
Andreas Reuß
CCO | finleap connect GmbH
Andreas Reuß verfügt als ehemaliger Partner einer WP-Gesellschaft und Betreiber einer Open Banking Plattform über umfangreiche Erfahrung mit der Umsetzung regulatorischer Anforderungen.
Als 2017 die Bankaufsichtlichen Anforderungen an die IT, kurz BAIT, als Konkretisierung der in den MaRisk geregelten regulatorischen Anforderungen an die Informationstechnik von Banken eingeführt wurden, ging ein Raunen durch die Community. In der BAIT wurde erstmals konkret vorgegeben, wie die Aufsicht sich die regulatorikkonforme Ausgestaltung der Banken IT vorstellt. Zwar galt für die BAIT das Proportionalitätsprinzip, das eine Ausgestaltung anhand der konkreten Situation des jeweiligen Instituts zuließ. Prüfungserfahrungen von EZB, Bundesbank, BaFin, aber auch der hauseigenen Revisionsabteilungen haben jedoch gezeigt, dass die BAIT nicht als gestaltungsfreier „Papiertiger“ verstanden, sondern als „umzusetzen“ vorgegeben werden. Die spezifischen Anforderungen für kritische IT-Strukturen in dem im Jahr 2018 ergänzten KRITS-Modul machten deutlich, dass der mit der BAIT eingeschlagene Weg seitens der BaFin konsequent fortgeführt wird.
Zwei Jahre sind seitdem vergangen. Viele Institute sind auch heute noch damit beschäftigt, die auf Grundlage der BAIT erfolgten Feststellungen aus internen und externen Prüfungen zu bearbeiten und ihre IT compliant zu gestalten. Da steht auch bereits eine signifikante Erweiterung der Anforderungen aus der BAIT in den Startblöcken. 2020 erfolgte die Konsultationsphase mit den Instituten. Für das kommende Jahr 2021 ist vom Go-live der neuen Ansprüche auszugehen.
Drei neue Kapitel ergänzen die bestehenden Anforderungen, von denen die operative IT-Sicherheit und das IT-Notfallmanagement die beiden bedeutsameren sind im Vergleich zum Kapitel Kundenbeziehungen zu Zahlungsdienstleistern.
Mit dem neuen Kapitel „operative IT-Sicherheit“ werden die bisherigen Anforderungen an Netzwerksicherheit, Systemhärtung, Penetrations- und Schwachstellentest geschärft und in einem eigenen Kapitel gebündelt.
Das neue Kapitel IT-Notfallmanagement trägt der Tatsache Rechnung, dass sich die EBA-Guidelines explizit mit diesem Handlungsfeld befassen und ergänzt die BAIT um Inhalte des IT-Notfallmanagements sowie des Business-Continuity-Managements. Neben der Identifikation der für Notfälle relevanten Ressourcen und Prozesse stehen Maßnahmen zur Gewährleistung der Fortführung des Geschäftsbetriebs im Falle von Notfällen im Fokus dieses Kapitels. Hinzu kommen Anforderungen an die Durchfügung von Tests und Übungen zur Sicherstellung der Wirksamkeit der definierten Vorkehrungen.
Über die neuen Kapitel hinaus wurden auch bestehende Stellen konkretisiert oder erweitert. Eine wesentliche Veränderung im Vergleich zu der bestehenden BAIT liegt im prozessualen Betrachtungsgegenstand.
Standen bisher die IT-Prozesse sowie die IT-Systeme als Informationsverbund im Mittelpunkt der Betrachtung, sind jetzt sämtliche Geschäftsprozesse im Fokus, und zwar hinsichtlich ihrer Unterstützung mittels IT-Anwendungen, Infrastrukturen und Daten. Dieses ist neu und erweitert den Scope nachhaltig. Vor allem auch deshalb, weil die Einbindung von externen Dienstleistungspartnern nicht mehr primär auf das Handlungsfeld Sourcing/Dienstleistersteuerung beschränkt ist. Vielmehr sind die IT-relevanten Elemente ihrer Leistungsunterstützung im Prozess relevante Scopes. Der Informationsverbund als Betrachtungsgegenstand erhält so eine andere Komplexität, die es in der Bank regulatorisch zu managen gilt.
Ebenso eine Ausweitung erfahren die Anforderungen an IT-Serviceprozesse. So sind mit der Erweiterung der BAIT die beiden ITIL-Prozesse Capacity-Management und Availability-Management in den Instituten zu etablieren.
Das Capacity-Management sichert die Kapazität der IT-Services sowie der IT-Infrastruktur. Ziel ist, dass alle Komponenten der IT-Services die vereinbarten Kapazitäts- und Performanceziele erreichen, auch unter Berücksichtigung zukünftiger Anforderungen.
Das Availability-Management stellt die Verfügbarkeit der IT-Services sicher, in dem alle Komponenten der IT-Services die vereinbarten Verfügbarkeitsziele erreichen.
Wichtig ist hierbei der Bezug zu den oben beschriebenen Ausweitungen in der Definition des Informationsverbundes. Dadurch wird deutlich, dass eine bankinterne Betrachtung der beiden neuen Prozesse zu kurz greift und die beteiligten Dienstleistungspartner einzubinden sind.
Nachstehende Abbildung fasst diese neuen, respektive verschärften Ansprüche der BAIT-Anforderung zusammen und zeigt, welche Effekte diese auf die Institute erwarten lassen.
Schon auf den ersten Blick wird deutlich, dass die neuen ebenso wie die erweiterten Anforderungen der BAIT nicht mittels eines „Quick Hit“ zu bewältigen sind. Zu umfangreich waren und sind die Herausforderungen aus den 2017 und 2018 formulierten Anforderungen der BAIT für die Banken.
Entsprechend der individuellen Ausgangssituation des Instituts und dem Grad der für die eigene IT gewählten Standardisierung gibt es hinsichtlich des Umsetzungshorizonts kurzfristige Aspekte, grundsätzlich aber eher eine langfristige Perspektive. Durch die Ausweitung des Informationsverbundes sind die BAIT kein ausschließliches IT-Thema mehr, sondern ein Prozessthema, das die IT-Unterstützung des jeweiligen Prozesses im Fokus hat. Damit sind neben den Spezialisten des eigenen IT-Bereichs zunehmend solche der relevanten Dienstleistungspartner einzubinden. Darüber hinaus sind auch Experten aus den Fachbereichen der Bank zu involvieren.
Damit wird deutlich, dass insgesamt ein hoher Aufwand für die Institute mit der Umsetzung der Neuerungen in der BAIT verbunden ist.
Vor diesem Hintergrund sind zwei Tätigkeiten von herausgehobener Bedeutung. Erstens die Identifikation des Informationsverbunds für die betroffenen Geschäftsprozesse, um den Handlungsrahmen und die einzubindenden Parteien transparent und vollständig zu identifizieren. Zweitens die darauf aufbauende Ableitung einer Umsetzungsroadmap, die auch den aktuellen Status quo des Instituts berücksichtigt.
Um dieses so zielgerichtet wie möglich zu tun, ist nicht nur die Kenntnis der regulatorischen Anforderungen entscheidend. Wesentlich bedeutsamer ist die umfangreiche Praxisexpertise zu Bankprozessen sowie der in den Prozessen eingesetzten IT-Systeme und ihrer Schnittstellen untereinander. In Kombination mit Erfahrungen aus Audit- und Umsetzungsprojekten im Kontext Bankenregulatorik stellen sie die kritischen Erfolgsfaktoren dar, eine effiziente Umsetzung der BAIT-Neuerungen zu planen und durchzuführen.
Expertise bankon Management Consulting
Die Expertise der bankon-Berater aus mehr als fünfzehn Jahren Erfahrung mit Projekten im Kontext IT-Regulatorik sichert praxiserprobtes Wissen. Umfangreiche Kenntnis von Organisationsstrukturen, Prozessen und IT-Systemen deutscher Banken und Sparkassen gewährleisten den erforderlichen fachlichen und technischen Hintergrund.
Auf dieser Grundlage unterstützt bankon effizient und zielgerichtet in der Identifikation aller beteiligten Assets am Informationsverbund, der effizienten Erstellung einer Umsetzungsroadmap für die BAIT-Neuerungen sowie der Umsetzung selbst.
Nutzen Sie unsere umfangreichen Erfahrungen und sprechen Sie mit uns: