Schlagwort: MaRisk

DORA – Neue regulatorische Anforderungen für europäische Banken

Veröffentlicht am 27. September 202227. September 2022 von Ralf-Michael Jendro

Zielsetzung und Inhalt von DORA:

DORA (Digital Operational Resilience Act) ist der europäische Verordnungsentwurf zur digitalen operationalen Resilienz im Finanzsektor. Es ist einer von vier regulatorischen Bausteinen zu dessen Digitalisierung. 2020 wurde DORA von der Europäischen Kommission vorgelegt. Das Inkrafttreten der Verordnung ist um den Jahreswechsel 2022/2023 zu erwarten.

Im Fokus von DORA steht die digitale Betriebsstabilität als Fähigkeit von Finanzunternehmen, IT-Systeme aufzubauen, deren Betrieb sicherzustellen und zu überprüfen. Eingesetzte Informations- und Kommunikationstechnologien dürfen nicht durch betriebliche Störungen, wie z. B. technische Ausfälle oder Cyberangriffe, die Erbringung von Finanzdienstleistungen gefährden. Diese Anforderung schließt auch die direkt oder indirekt von Drittanbietern genutzten Dienste ein. Finanzunternehmen haben, insbesondere auch im Zusammenwirken mit ihren Dienstgebern, die erforderlichen Vorkehrungen zu treffen, um auf alle denkbaren Beeinträchtigungen und Bedrohungen in der IT vorbereitet zu sein und Zwischenfälle zu überstehen.

Mit DORA verfolgt die europäische Union drei Kernziele:

Vereinheitlichung bestehender nationaler und europäischer Standards und Vorgaben
Gewährleistung, dass alle erforderlichen Maßnahmen zur Absicherung gegen Cyberrisiken und ‑angriffe getroffen werden
Schaffung eines Rechtsrahmens zur direkten Überwachung von IT-Drittanbietern durch die Aufsichtsbehörden, sobald diese für Finanzunternehmen tätig sind

Inhaltlich umfasst DORA sechs Schwerpunkte

IKT-Risikomanagement – Finanzunternehmen sollen über einen „geeigneten Rahmen“ an Risikomanagementwerkzeugen für ihre Informations- und Kommunikationstechnik (IKT), ausreichend Kapazitäten und Ressourcen verfügen. Diese sind zu dokumentieren sowie deren Aktivitäten zu protokollieren, um den Aufsichtsbehörden darüber zu berichten. Dafür muss im Unternehmen eine eigene verantwortliche Stelle eingerichtet sein.
Berichterstattung – Die durchgeführten Tests sind zu protokollieren. Die Berichterstattung hat bereits vorzusehen, dass mögliche Vorfälle bzw. Störungen zu klassifizieren und zu clustern sind (wie viele Betroffene, in welchem Gebiet, welche Daten betroffen, etc.). Für die Durchführung der Dokumentation und Berichterstattung sollen Standards vorgegeben werden.
Regelungen für Tests – In regelmäßigen Abständen – mindestens einmal pro Jahr – müssen die Systeme einem Test unterzogen werden. Grundlage sind die Regelwerke der Bank. Im Rahmen der Tests sind unterschiedliche Bedrohungsszenarien zu berücksichtigen und anhand von Testfällen zu simulieren. Auf Grundlage der Erkenntnisse aus der Testdurchführung sind institutsindividuelle Präventionsmaßnahmen zu spezifizieren. Diese setzen bereits im Erkennen von Bedrohungen an und reichen bis zu Regelungen von Backupmaßnahmen.
IKT-Drittanbieter – Das Risikomanagement von Dienstleistungspartnern in der IT steht hier im Mittelpunkt. Der Scope geht aber über die vertraglichen Regelungen zur Auslagerung hinaus. Eine besondere Regelung erfahren sogenannte kritische Dienstleister, die ausgelagerte digitale Leistungen für Institute erbringen. Abgezielt wird hier z. B. auf die Angebote von „Big Techs“ im Kontext Cloud-Computing-Leistungen. Hier ist für die europäischen Aufsichtsorgane die Berechtigung vorgesehen, auf Dokumente zuzugreifen, Vor-Ort-Prüfungen durchzuführen, Empfehlungen oder Anweisungen auszusprechen sowie Maßnahmen zur Abhilfe zu fordern. Hierfür ist die Breitstellung eines Mechanismus vorgesehen, der die Kritikalität von Dienstleistungsanbietern bestimmt.
Informationsaustausch – Regelungen zum Informationsaustausch über Cyberbedrohungen inklusive der Regelung, wie Vereinbarungen dazu gestaltet sein müssen.
Governance - Für die Durchsetzung des geplanten Regelwerks sind die Aufsichtsbehörden vorgesehen, die bereits jetzt für die Aufsicht der im Anwendungsbereich befindlichen Unternehmen zuständig sind.

Zur Erreichung dieser sechs Zielvorgaben der Aufsicht stehen für die Finanzinstitute folgende Themen im Fokus der Umsetzung, da sie in Teilen über die bestehenden regulatorischen Anforderungen herausgehen:

Stärkung der operationellen digitalen Resilienz der Banken mittels Vorgaben zum Digital Operational Resilience Testing (inklusive Penetrationstests)
Sicherstellung einer stringenten und konsequenten Überwachung ausgelagerter Dienstleistungserbringung in der Informations- und Kommunikationstechnik
Ausweitung von Meldepflichten zu schwerwiegenden IKT-Incidents auf den gesamten Finanzsektor
Erweiterung der Anforderungen an das Management von Informationsrisiken und Informationssicherheit

DORA für Banken in Deutschland:

Diese auf die IT-Sicherheit einzahlenden Schwerpunkte werden mit DORA detaillierter beschrieben als in bestehenden regulatorischen Regelungen wie BAIT oder ISO 27xxx und darüber hinaus auf eine europäische Ebene gehoben, um einen einheitlichen Standard zu forcieren.

Besonders die geforderten Maßnahmen zur Steuerung des mit der Auslagerung von ITK-Leistungen an Dritte verbundenen Risikos sind deutlich spezifischer. Dazu wird die Fokussierung auf eine geringe Anzahl von Schlüssel-Dienstleistern als kritisch betrachtet. Dieses gilt sowohl für das einzelne Institut als auch für die Branche insgesamt.

Im Hinblick auf eine Umsetzung der Vorgaben von DORA ist jedoch zu berücksichtigen, dass in Deutschland bereits in jüngster Vergangenheit wesentliche Verschärfungen der Anforderungen mittels aufsichtsrechtlicher Vorgaben umgesetzt wurden.

Beispielhaft genannt sei das Handlungsfeld der Auslagerungen von Dienstleistungen der Banken an Dritte. Im Mittelpunkt stehen hier die aus der Erweiterung der BAIT sowie dem Finanzmarktintegritätsstärkungsgesetz (FISG) resultierenden Vorgaben.

Banken sind auf dieser Basis nicht mehr nur verpflichtet, inhaltliche, vertragliche oder steuernde Prozesse zu ihren Dienstleistungspartnern zu etablieren, sondern ebenso dazu, wesentliche Auslagerungen bei der Aufsicht anzuzeigen (Auslagerungsregister). So führt die BaFin an, dass die Konzentration auf sogenannte Mehrmandantendienstleister (MMDLs), die für mehrere Banken tätig sind, Risiken für den Gesamtmarkt implizieren. Über das Auslagerungsregister hinaus besteht auch eine Verpflichtung zur Meldung schwerwiegender Vorfälle in der Auslagerungsbeziehung zwischen Bank und Dienstleistungspartner.

Der durch die Meldungen der Institute geschaffene Überblick über die Auslagerungsbeziehungen deutscher Banken ermöglicht der Bankenaufsicht, diese MMDLs zu identifizieren, hinsichtlich des Risikos zu bewerten und zu überwachen.

Darüber hinaus gibt der gesetzliche Rahmen der Aufsicht die Möglichkeit, direkt auf den Auslagerungspartner der Bank zuzugehen, um einen Missstand zu vermeiden oder zu beheben.

Diese Anforderung trägt der zunehmenden, branchenweiten Bedeutung einzelner Dienstleistungsanbieter und dem damit verbundenen Risiko Rechnung.

Spezifische Aspekte für Verbundstrukturen:

Die in DORA formulierten Regelungen für IT-Dienstleister von Banken basieren wahrscheinlich auf Überlegungen, die z. B. Anbieter von Cloudlösungen wie Amazon, Google oder Microsoft im Fokus hatten. Im Hinblick auf Cybersicherheit und die Kritikalität einzelner Anbieter für den gesamten Bankensektor ist dieses sicherlich ein sachgerechtes Vorgehen.

Das Universum der Banken in Deutschland ist jedoch in starkem Maße von Sparkassen und Genossenschaftsbanken geprägt. Hier bestehen Verbundstrukturen.

Diese Strukturen sind durch zwei Komponenten gekennzeichnet:

Eine inhaltliche Komponente, in der tendenziell eher kleineren Instituten zentrale Dienstleistungen und digitale Angebote ebenso zur Verfügung gestellt werden wie stabile Governance-Prozesse
Eine rechtliche Komponente, in der sich die zentralen Anbieter dieser Institutsgruppen in deren Besitz befinden und durch diese kontrolliert werden. Die einzelnen Institute, welche die Leistungen nutzen, sind gleichzeitig Eigentümer des Leistungserbringers

Durch diese Strukturen ist die Gefahr konkurrierender Interessen zwischen Bank und Dienstleister nahezu ausgeschlossen.

Das bedeutet auch, dass regulatorische Anforderungen aus DORA an die Institute (Darlegung, wie sie mit den Gefahren von Abhängigkeiten umgehen, die bei der Auslagerung von Dienstleistungen entstehen) im Falle von Verbundstrukturen auf vollständig andere Voraussetzungen treffen als bei Instituten außerhalb der Verbünde.

Im Handlungsfeld der Auslagerungen haben bestehende regulatorische Vorgaben wie die MaRisk auf Basis der EBA-Leitlinien für Sourcing Erleichterungen für die IT-Auslagerung auf Verbundebene vorgesehen, die in DORA so nicht enthalten sind.

In diesem Kontext besteht noch abschließender Klärungsbedarf durch die Verbände mit der Aufsicht, um für die Verbundinstitute Handlungssicherheit sicherzustellen.

Unabhängig von diesem verbundspezifischen Aspekt, besteht für die Banken in Deutschland die Erfordernis, sich der Umsetzung von DORA zu widmen.

Aber was heißt das im „Dschungel“ der regulatorischen Vorgaben denn genau?

Umsetzungsempfehlungen

Für Banken, die regulatorische Anforderungen in der Vergangenheit bereits kontinuierlich umgesetzt haben, heißt es auch bei DORA – kein Grund zur Panik.

Für Institute, die eine Umsetzung der Anforderungen der BAIT 2017 und 2021 nur homöopathisch begonnen haben und wesentliche Dienstleistungen an Dritte ausgelagert haben, steigt durch DORA der Handlungsdruck noch einmal.

Gerade in Bezug auf das Management von Auslagerungen kann sich eine „Bugwelle“ erforderlicher Umsetzungsaktivitäten aufbauen, die sich finanziell und kapazitativ zu einer kritischen Herausforderung entwickelt und unmittelbaren Handlungsbedarf erfordert.

In diesem Kontext gilt es, die bereits bestehenden Anforderungen Dokumentations- und Meldepflichten sowie das Risikomanagement in den besonderen Fokus zu rücken.

Bestehende Verträge mit Dienstleistungspartnern, an die speziell IT-Leistungen ausgelagert wurden, gilt es zu prüfen, ob diese den bestehenden und zukünftigen Anforderungen genügen. So sind beispielsweise Prüfungen durch die Bank erforderlich, ob die Dienstleister im Bereich Business Continuity oder Notfallmanagement die relevanten Vorgaben eingehalten haben. In vielen Fällen sind diese Prüfungen in den bestehenden Verträgen nicht vorgesehen. Da Anpassungen in der Regel zeitaufwändig sind, ist hier ein relevanter Ansatzpunkt, der nicht aufgeschoben werden sollte.

Generell gilt bei DORA, wie auch bei den vorangegangenen regulatorischen Veränderungen und Verschärfungen, eine GAP-Analyse des Status quo gegen die Vorgaben als probates Mittel. Praxisbewährte und risikoorientierte Checklisten, die auch die Prüfungsschwerpunkte der Bankenaufsicht in ihrer Priorisierung berücksichtigen, sind hier ein empfohlenes Hilfsmittel zur Ermittlung des Handlungsbedarfs und der Ableitung einer Umsetzungsroadmap.

Expertise bankon Management Consulting

Die Expertise der bankon-Berater aus mehr als fünfzehn Jahren Erfahrung mit Projekten im Kontext IT-Regulatorik sichert praxiserprobtes Wissen. Umfangreiche Kenntnis von Organisationsstrukturen, Prozessen und IT-Systemen deutscher Banken und Sparkassen gewährleisten den erforderlichen fachlichen und technischen Hintergrund.

Aus der Vorbereitung, Begleitung und Nachbereitung von Prüfungen der Bankenaufsicht verfügt bankon über eine umfangreiche Praxiserfahrung, die in Best Practices und Checklisten eingeflossen sind und den Kunden von bankon in der effizienten Umsetzung einer regulatorikkonformen IT helfen.

Nutzen Sie unsere umfangreichen Erfahrungen und sprechen Sie mit uns:

bankon Management Consulting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://www.bankon.de
E‑Mail: research@bankon.de

Simplyfying IT-Compliance

Veröffentlicht am 13. Dezember 202115. Dezember 2021 von Carsten Wendt

Digitalisierung Risikomanagement/-systeme Banken – Antwort auf zunehmende Bedrohungen durch Cyber-Risiken und steigende Kosten durch IT-Compliance

Modernes Banking ist digital. Eine leistungsstarke IT-Plattform und effiziente IT-Prozesse sind der Erfolgstreiber für die Geschäftsmodelle der Zukunft. Die Anforderungen an das IT-Management der Banken sind immens. Neben strikter Kostenkontrolle rücken angesichts der Bedrohung durch Cyber-Angriffe Informationssicherheit und IT-Risikomanagement in den Fokus. Die Institute sehen sich mit immer strengeren, zunehmend technischen regulatorischen Vorgaben (BAIT, EBA, MaRisk, ISO 27000) und strikterer Auslegung sowie effektiven Umsetzungskontrollen im Rahmen von Sonderprüfungen konfrontiert. Entscheider im IT-Management benötigen daher zukünftig „auf Knopfdruck“ vollständige Transparenz über das aktuelle IT-Risiko bzw. die Gefährdungssituation ihrer Organisationen als Gesamtüberblick mit Wechselwirkungen, Abhängigkeiten, Redundanzen, gemappt auf die aktuell gültigen Vorgaben, um effektiv steuern zu können. Der Impact von Veränderungen regulatorischer Rahmenbedingungen sollte sofort sichtbar und effektive Maßnahmen zur Umsetzung der neuen Vorgaben und Mitigation der institutsspezifischen Risikoposition ableitbar sein. Aufgrund der herrschenden Komplexität der IT-Strukturen der Häuser und der anwendbaren Regulierung bietet ein digitales Framework „Digital Regulatory Compliance“, DIRC, mit leistungsstarker Softwareunterstützung (Plattformtechnologie) hierbei erhebliche Effizienzvorteile.

Ein aktueller Fachbeitrag von bankon Management Consulting GmbH & Co. KG zusammen mit finleap connect GmbH und der finleap Tochter 42Stages GmbH als RegTech-Spezialist in der Fachzeitschrift „die bank“ beschreibt die zunehmenden Herausforderungen für Banken durch Cyber-Risiken sowie steigende regulatorische Anforderungen und zeigt praxiserprobte digitale Lösungsansätze (Link):

https://www.die-bank.de/home/banken-sind-auf-digitale-risikomanagementsysteme-angewiesen-20037/

Fazit und Ausblick
Die Digitalisierung der IT-Compliance ist für Banken unverzichtbar. Nur durch intelligenten Einsatz von Plattformtechnologie können die Kostensynergien geschaffen werden, die langfristig die Rentabilität und Wettbewerbsfähigkeit der Institute sichern. Der Erfolg liegt in der Kombination von Bankfachlichkeit und Technologie. Ein Framework wie DIRC kann die effiziente Umsetzung unterstützten.

Die Digitalisierung steht auch im Bereich IT-Compliance erst am Anfang ihrer Möglichkeiten. Mittelfristig ist davon auszugehen, dass das DIRC-Framework um eine weitere Ebene „Profiling“ erweitert wird. Durch Einsatz von Mustererkennung und künstlicher Intelligenz (KI) sollen organisatorische Schwachstellen frühzeitig identifiziert und vorausschauend Risiken z. B. aus veränderten regulatorischen Rahmenbedingungen eingeschätzt werden können.

Nutzen Sie unsere umfangreichen Erfahrungen und sprechen Sie mit uns:

bankon Management Consulting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://www.bankon.de
E‑Mail: research@bankon.de

Weitere Autoren:

Patrick Giesen

Managing Director | 42Stages GmbH

Patrick Giesen begleitete als Prüfer und Berater viele Banken im Kontext von Aufsichtsprüfungen, war CISO und GW-Beauftragter und entwickelt das hier vorgestellte Framework.

Andreas Reuß

CCO | finleap connect GmbH

Andreas Reuß verfügt als ehemaliger Partner einer WP-Gesellschaft und Betreiber einer Open Banking Plattform über umfangreiche Erfahrung mit der Umsetzung regulatorischer Anforderungen.

6. MaRisk-Novelle Änderungen AT 9 wesentliche Auslagerung für Sparkassen

Veröffentlicht am 16. Februar 202116. Februar 2021 von Alexander Gniewkowski

Herausforderungen für nicht systemrelevante Kreditinstitute

bankon berät seit Jahren seine Kunden in Banken und Sparkassen bei der Bewältigung von regulatorischen Herausforderungen, die weiterhin mit einer nicht endenden Dynamik die Organisations- und Prozessstrukturen der Häuser treffen. Wir beobachten für unsere Kunden die regulatorischen Entwicklungen und sind zu einem frühen Zeitpunkt nah an den Aufsichtsbehörden und deren Anforderungsentwicklungen dran. Aktuell sind die Arbeiten der BaFin und der Sparkassen zum Thema der 6. MaRisk-Novelle Änderungen AT 9 ‑Auslagerung- in vollem Gange. So bewerten wir für die Sparkassen die sich nunmehr konkretisierenden Anforderungen an das Outsourcing- und Auslagerungsmanagement, die Providersteuerung sowie das Risikomanagement.

Für die Sparkassen, die nicht der europäischen Bankenaufsicht unterliegen, treten die EBA-Leitlinien/neuen Outsourcing-Standards erst mit Überführung in nationales Recht in Kraft. Die Überführung erfolgt seitens der BaFin über die Novelle des Moduls AT 9 der MaRisk (6. MaRisk-Novelle). Dieser Prozess startete im Herbst 2020 und wird im Jahr 2021 mit Hochdruck weiterverfolgt.

Sich verändernde Themen und Rahmenbedingungen für die Sparkassen werden hier von bankon nur exemplarisch benannt:

Ausdifferenzierung in der Kategorisierung von großen/komplexen vs. kleinerer/weniger komplexer Institute im Sinne der MaRisk-Novellierung
Parameter zur Gestaltung Risikoanalyse und Ergänzung einer Szenarioanalyse (qualitative Ansätze vs. interne und externe Verlustdatensammlung)
Konkretisierung Rolle zentraler Auslagerungsbeauftragter und weiterer Rollen wie z. B. Revision
Gestaltungsspielräume für zentrale Erleichterungen nutzbar gestalten (gemeinsame Notfallpläne, Auslagerungsregister, etc.)
Gestaltung und Nutzung von Auslagerungsmusterverträgen

Die deutschen Sparkassen haben unter der Regie des Spitzenverbandes DSGV und der Regionalverbände reagiert und haben Ende 2020 ein Projekt mit dem Ziel aufgesetzt, Rahmenbedingungen, Vorgaben und Hilfsmittel zur Umsetzung der Vorgaben aus der 6. Novelle für ihre Mitgliedsinstitute zu entwickeln und diese in der Folge nutzbar für die Häuser zu gestalten.

Der DGSV und die Regionalverbände stellen bereits heute und in überarbeiteter Form zukünftig den Sparkassen zentral Handbücher, Instrumente/Tools zum Auslagerungsmanagement sowie einen Auslagerungsmustervertrag über die Kanäle wie z. B. InDok+ und den Umsetzungsbaukasten zur Verfügung. Darüber hinaus können die Sparkassen im Rahmen eines indirekten Steuerungsansatzes sog. „Wertungshilfen“ für Dienstleister über die Regionalverbände in Anspruch nehmen.

Die Sparkassen müssen heute und auch nach der Novellierung in Eigenverantwortung die Maßnahmen und Aktivitäten zum Auslagerungsmanagement umsetzen.

Dabei werden die Sparkassen autark entscheiden müssen, in welchem Umfang sie auf die zentralen Empfehlungen und Instrumente/Tools der Verbandsseite zurückgreifen. Juristische und kaufmännische Bewertungen sowie Risikoaspekte werden von den Sparkassen weiterhin individuell verantwortet werden müssen.

Die Gesamtverantwortung für das Auslagerungsmanagement verbleibt auch nach er 6. Novelle der MaRisk AT 9 bei der jeweiligen Sparkasse. Eine vollständige Verlagerung der Verantwortung auf eine zentrale Steuerungseinheit ist mit großer Wahrscheinlichkeit nicht möglich.

Demnach müssen alle Sparkassen in Deutschland nach der Beendigung der vorbereitenden Verbandsprojekte, die Umsetzung der 6. MaRisk-Novelle Änderungen AT 9 aktiv gestalten, die zentral vorgegebenen Empfehlungen ihres Spitzenverbands bewerten und mit Blick auf die Individualität ihres Hauses die Nutzung jeweils umsetzen.

Gerne helfen wir Ihnen bei der Bewertung, der Umsetzungsentscheidung und der operativen Implementierung der notwendigen Methoden und Prozesse und schaffen somit gemeinsam die optimale Ausrichtung Ihres Hauses auf die regulatorischen Anforderungen.

Die Expertise der bankon-Berater aus mehr als fünfzehn Jahren Erfahrung mit Projekten im Kontext der MaRisk sichert praxiserprobtes Wissen. Umfangreiche Kenntnis von Organisationsstrukturen, Prozessen und IT-Systemen deutscher Sparkassen gewährleisten den erforderlichen fachlichen und technischen Background.

Nutzen Sie unsere umfangreichen Erfahrungen und sprechen Sie mit uns:

bankon Management Consulting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://www.bankon.de
E‑Mail: research@bankon.de

„Handlungsdruck für Banken – BAIT-Neuerungen 2021“

Veröffentlicht am 11. Januar 202118. Februar 2021 von Ralf-Michael Jendro

Als 2017 die Bankaufsichtlichen Anforderungen an die IT, kurz BAIT, als Konkretisierung der in den MaRisk geregelten regulatorischen Anforderungen an die Informationstechnik von Banken eingeführt wurden, ging ein Raunen durch die Community. In der BAIT wurde erstmals konkret vorgegeben, wie die Aufsicht sich die regulatorikkonforme Ausgestaltung der Banken IT vorstellt. Zwar galt für die BAIT das Proportionalitätsprinzip, das eine Ausgestaltung anhand der konkreten Situation des jeweiligen Instituts zuließ. Prüfungserfahrungen von EZB, Bundesbank, BaFin, aber auch der hauseigenen Revisionsabteilungen haben jedoch gezeigt, dass die BAIT nicht als gestaltungsfreier „Papiertiger“ verstanden, sondern als „umzusetzen“ vorgegeben werden. Die spezifischen Anforderungen für kritische IT-Strukturen in dem im Jahr 2018 ergänzten KRITS-Modul machten deutlich, dass der mit der BAIT eingeschlagene Weg seitens der BaFin konsequent fortgeführt wird.

Zwei Jahre sind seitdem vergangen. Viele Institute sind auch heute noch damit beschäftigt, die auf Grundlage der BAIT erfolgten Feststellungen aus internen und externen Prüfungen zu bearbeiten und ihre IT compliant zu gestalten. Da steht auch bereits eine signifikante Erweiterung der Anforderungen aus der BAIT in den Startblöcken. 2020 erfolgte die Konsultationsphase mit den Instituten. Für das kommende Jahr 2021 ist vom Go-live der neuen Ansprüche auszugehen.

Drei neue Kapitel ergänzen die bestehenden Anforderungen, von denen die operative IT-Sicherheit und das IT-Notfallmanagement die beiden bedeutsameren sind im Vergleich zum Kapitel Kundenbeziehungen zu Zahlungsdienstleistern.

Mit dem neuen Kapitel „operative IT-Sicherheit“ werden die bisherigen Anforderungen an Netzwerksicherheit, Systemhärtung, Penetrations- und Schwachstellentest geschärft und in einem eigenen Kapitel gebündelt.

Das neue Kapitel IT-Notfallmanagement trägt der Tatsache Rechnung, dass sich die EBA-Guidelines explizit mit diesem Handlungsfeld befassen und ergänzt die BAIT um Inhalte des IT-Notfallmanagements sowie des Business-Continuity-Managements. Neben der Identifikation der für Notfälle relevanten Ressourcen und Prozesse stehen Maßnahmen zur Gewährleistung der Fortführung des Geschäftsbetriebs im Falle von Notfällen im Fokus dieses Kapitels. Hinzu kommen Anforderungen an die Durchfügung von Tests und Übungen zur Sicherstellung der Wirksamkeit der definierten Vorkehrungen.

Über die neuen Kapitel hinaus wurden auch bestehende Stellen konkretisiert oder erweitert. Eine wesentliche Veränderung im Vergleich zu der bestehenden BAIT liegt im prozessualen Betrachtungsgegenstand.

Standen bisher die IT-Prozesse sowie die IT-Systeme als Informationsverbund im Mittelpunkt der Betrachtung, sind jetzt sämtliche Geschäftsprozesse im Fokus, und zwar hinsichtlich ihrer Unterstützung mittels IT-Anwendungen, Infrastrukturen und Daten. Dieses ist neu und erweitert den Scope nachhaltig. Vor allem auch deshalb, weil die Einbindung von externen Dienstleistungspartnern nicht mehr primär auf das Handlungsfeld Sourcing/Dienstleistersteuerung beschränkt ist. Vielmehr sind die IT-relevanten Elemente ihrer Leistungsunterstützung im Prozess relevante Scopes. Der Informationsverbund als Betrachtungsgegenstand erhält so eine andere Komplexität, die es in der Bank regulatorisch zu managen gilt.

Ebenso eine Ausweitung erfahren die Anforderungen an IT-Serviceprozesse. So sind mit der Erweiterung der BAIT die beiden ITIL-Prozesse Capacity-Management und Availability-Management in den Instituten zu etablieren.

Das Capacity-Management sichert die Kapazität der IT-Services sowie der IT-Infrastruktur. Ziel ist, dass alle Komponenten der IT-Services die vereinbarten Kapazitäts- und Performanceziele erreichen, auch unter Berücksichtigung zukünftiger Anforderungen.

Das Availability-Management stellt die Verfügbarkeit der IT-Services sicher, in dem alle Komponenten der IT-Services die vereinbarten Verfügbarkeitsziele erreichen.

Wichtig ist hierbei der Bezug zu den oben beschriebenen Ausweitungen in der Definition des Informationsverbundes. Dadurch wird deutlich, dass eine bankinterne Betrachtung der beiden neuen Prozesse zu kurz greift und die beteiligten Dienstleistungspartner einzubinden sind.

Nachstehende Abbildung fasst diese neuen, respektive verschärften Ansprüche der BAIT-Anforderung zusammen und zeigt, welche Effekte diese auf die Institute erwarten lassen.

Schon auf den ersten Blick wird deutlich, dass die neuen ebenso wie die erweiterten Anforderungen der BAIT nicht mittels eines „Quick Hit“ zu bewältigen sind. Zu umfangreich waren und sind die Herausforderungen aus den 2017 und 2018 formulierten Anforderungen der BAIT für die Banken.

Entsprechend der individuellen Ausgangssituation des Instituts und dem Grad der für die eigene IT gewählten Standardisierung gibt es hinsichtlich des Umsetzungshorizonts kurzfristige Aspekte, grundsätzlich aber eher eine langfristige Perspektive. Durch die Ausweitung des Informationsverbundes sind die BAIT kein ausschließliches IT-Thema mehr, sondern ein Prozessthema, das die IT-Unterstützung des jeweiligen Prozesses im Fokus hat. Damit sind neben den Spezialisten des eigenen IT-Bereichs zunehmend solche der relevanten Dienstleistungspartner einzubinden. Darüber hinaus sind auch Experten aus den Fachbereichen der Bank zu involvieren.

Damit wird deutlich, dass insgesamt ein hoher Aufwand für die Institute mit der Umsetzung der Neuerungen in der BAIT verbunden ist.

Vor diesem Hintergrund sind zwei Tätigkeiten von herausgehobener Bedeutung. Erstens die Identifikation des Informationsverbunds für die betroffenen Geschäftsprozesse, um den Handlungsrahmen und die einzubindenden Parteien transparent und vollständig zu identifizieren. Zweitens die darauf aufbauende Ableitung einer Umsetzungsroadmap, die auch den aktuellen Status quo des Instituts berücksichtigt.

Um dieses so zielgerichtet wie möglich zu tun, ist nicht nur die Kenntnis der regulatorischen Anforderungen entscheidend. Wesentlich bedeutsamer ist die umfangreiche Praxisexpertise zu Bankprozessen sowie der in den Prozessen eingesetzten IT-Systeme und ihrer Schnittstellen untereinander. In Kombination mit Erfahrungen aus Audit- und Umsetzungsprojekten im Kontext Bankenregulatorik stellen sie die kritischen Erfolgsfaktoren dar, eine effiziente Umsetzung der BAIT-Neuerungen zu planen und durchzuführen.

Expertise bankon Management Consulting

Auf dieser Grundlage unterstützt bankon effizient und zielgerichtet in der Identifikation aller beteiligten Assets am Informationsverbund, der effizienten Erstellung einer Umsetzungsroadmap für die BAIT-Neuerungen sowie der Umsetzung selbst.

Nutzen Sie unsere umfangreichen Erfahrungen und sprechen Sie mit uns:

bankon Management Consulting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://www.bankon.de
E‑Mail: research@bankon.de

„IT-Regulatorik 2021“ – Wieviel Regulatorik vertragen die deutschen Banken?

Veröffentlicht am 26. November 202012. Februar 2021 von Ralf-Michael Jendro

EBA-ICT, MaRisk 6. Novelle, BAIT – von allen Seiten werden die IT- und Governance-Spezialisten der Banken im Moment mit neuen oder teilweise verschärften regulatorischen Anforderungen konfrontiert. In keiner Weise soll die positive Absicht hinter diesen Maßnahmen in Abrede gestellt werden. Aber es stellt sich dennoch die Frage, wieviel dieser regulatorischen Vorgaben durch die deutschen Banken bewältigt werden können und wie. Verschärft wird diese Frage durch die Tatsache, dass viele Institute aktuell Projekte und Vorhaben durchführen, die noch vorangegangene Anforderungen umsetzen oder die Etablierung im Linienbetrieb sicherstellen.

Regulatorik - Neue Anforderungen RJO — Regulatorik – Neue Anforderungen

Erschwerend kommt ebenfalls noch hinzu, dass die Umsetzung durch die Aufsichtsgremien in zunehmend engerer Taktung kontrolliert wird. EZB, Bundesbank und BaFin sind umfangreich in den Instituten vor Ort, um die erfolgreiche Umsetzung zu verproben. Erfolgreich heißt hierbei jedoch nicht nur die Dokumentation eines abgeschlossenen Projektes, sondern die operative Nachweisführung, dass die eingeführten oder veränderten Prozesse in der Linie etabliert sind und konsequent durchlaufen werden. Darauf aufbauende KVP- oder Lessons-Learned-Prozesse werden dabei als obligatorisch implementiert vorausgesetzt.

Die Prüfungen manifestieren damit eine deutlich gestiegene Anforderungsqualität an den in den Instituten verankerten regulatorischen Reifegrad.

Nun lässt sich zwar feststellen, dass viele der regulatorischen Vorgaben aufeinander aufbauen. Anforderungen aus der europäischen Perspektive (EBA-ICT) werden im Rahmen der 6. MaRisk-Novelle in nationale Vorgaben überführt und in den BAIT konkretisiert. Diese potenzielle Synergie gilt aber nicht in aller Vollständigkeit für Institute jeder Größenklasse. Darüber hinaus bleiben auch unter Berücksichtigung dieser Faktoren erhebliche Umsetzungsanforderungen für die Banken. Die Herausforderungen, die sich für die Institute daraus ergeben, sind unterschiedlich:

Größere Institute, vor allem mit internationaler Ausrichtung, erreicht die „volle Wucht“ der regulatorischen Anforderungen. Diese treffen aber auch auf Zentralbereiche der IT, Governance oder Compliance, die grundsätzlich über die zur Bewältigung dieser Anforderungen erforderliche Qualifikation und quantitative Ausprägung verfügen.

Kleinere Institute mit eher regionaler Ausrichtung sind von regulatorischen Anforderungen unterschiedlich betroffen. Eine wesentliche Unterscheidungskomponente ist hier der Umfang ausgelagerter Tätigkeiten. Je höher und je individueller der Auslagerungsgrad, umso stärker die regulatorischen Berührungspunkte. Verstärkend kommt hier jedoch hinzu, dass gerade bei einer weitgehenden Auslagerung das Expertenwissen dadurch abgebaut wurde. Vielfach ist das zur Bewältigung der regulatorischen Anforderungen erforderliche Know-how nicht mehr in ausreichender Quantität in den Instituten vorhanden.

Die Schlussfolgerung, dass in diesen Fällen die erforderliche Expertise durch Einstellung neuer Mitarbeiterinnen und Mitarbeiter zugeführt werden muss, vernachlässigt eine wesentliche Komponente – den Fachkräftemangel.

Experten in IT-Regulatorik, Governance oder Compliance sind am Markt stark gesucht und nicht in ausreichender Quantität vorhanden. Die Weiterbildung eigener Mitarbeiterinnen und Mitarbeiter in diesen Themen ist eine eher langfristig ausgerichtete Lösung. Das Wissen extern einzukaufen ist aus Kostengründen auch nicht ohne Weiteres möglich.

Welche Möglichkeiten gibt es aber, aus diesem Dilemma zu entkommen und den steigenden regulatorischen Anforderungen als Institut gerecht zu werden?

Aus Sicht von bankon hat sich die Einrichtung eines zentralen Regulatorik-Office bewährt. Dieses koordiniert institutsweit die Aktivitäten zu regulatorischen Veränderungen sowie der Vorbereitung und Begleitung regulatorischer Prüfungen. In seiner Ausgestaltung ermöglicht es institutsindividuelle Anpassungen vor dem Hintergrund der Größe sowie der Geschäfts- und Risikostruktur der Bank. Es ist damit der Single-Point-of-Truth für regulatorische Themen in der Bank.

Die Abbildung der aktuellen regulatorischen Situation der Bank erfolgt über ein zentrales Regulatorik-Backlog. Dessen Inhalt sind die institutsindividuell bewerteten regulatorischen Themen sowie die im regulatorischen Kontext identifizierten bankspezifischen Defizite.

Owner dieses Backlogs ist das Regulatorik-Office, das auch für die inhaltliche Befüllung verantwortlich ist. Im Rahmen von internen und externen Prüfungshandlungen identifizierte Defizite werden hier zentral abgelegt. Sie sind die relevante Informationsquelle für das Aufsetzen regulatorischer Vorhaben oder Projekte im Rahmen des Projektplanungsprozesses.

Die Vorteile dieser organisatorischen und informatorischen Bündelung liegen auf der Hand:

Förderung der bankinternen Verzahnung von Bereichen, die mit regulatorischen Themen befasst sind, z. B. Unternehmenssteuerung, IT, Informationssicherheit, Organisation, Projektportfoliosteuerung, Notfallmanagement oder Dienstleistersteuerung
Mitwirkung bei übergreifenden Initiativen, z. B. zum institutsgruppenspezifischen Umgang mit regulatorischen Anforderungen im Kontext Sourcing
Effiziente Unterstützung interner und vor allem externer Prüfungen durch die Wahrnehmung der Funktion eines zentralen Prüfungs-Offices
Voraussetzung einer systematischen, priorisierten Bearbeitung regulatorischer Defizite mittels Vorhaben und Projekten
Sicherstellung bankinterner Vertretungsmöglichkeiten im Kontext Regulatorik
Unterstützung der Ausbildung bankinternen Wissens zu regulatorischen Themen

Die Synergien und Vorteile sichern den Instituten die Fähigkeit, regulatorische Anforderungen bewältigen zu können. Die Bündelung der Kräfte ermöglicht den Banken, und hier besonders mittelgroßen und kleineren Instituten, die Sicherstellung der erforderlichen regulatorischen Governance.

Denn unabhängig von der Frage, wieviel Regulatorik deutsche Banken vertragen, lässt sich die Tendenz zur Ausweitung regulatorischer Anforderungen zumindest auf Ebene von Einzelinstituten nicht aufhalten. Es können aber sehr wohl die Voraussetzungen geschaffen und optimiert werden, mit diesen Anforderungen umzugehen.

Expertise bankon Management Consulting

Auf dieser Grundlage unterstützt bankon effizient und zielgerichtet im Setup zentraler Regulatorik-Offices und der erforderlichen Überführung in einen Regelbetrieb. Bei Bedarf unterstützt bankon auch operativ im Betrieb des Regulatorik-Office z. B. in der Vorbereitung und Begleitung regulatorischer Prüfungen.

Nutzen Sie unsere umfangreichen Erfahrungen und sprechen Sie mit uns:

bankon Management Consulting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://www.bankon.de
E‑Mail: research@bankon.de

Deutscher Bankensektor: Quo vadis? – Gewinner oder Verlierer

Veröffentlicht am 27. Oktober 202012. Februar 2021 von Steffen Rummel

Veränderungen im Bankenmarkt – Status quo

Immer mehr regulatorische Vorschriften (BAIT, EBA, ISO, MaRisk, BSI, Basel usw.), technologische Trends (FinTechs, Digitalisierung …) und der Wandel in ein branchenübergreifendes Ökosystem sind wesentliche Treiber aktueller Veränderungen im Bankenmarkt. Die Grundsatzfrage nach der zukünftigen Rolle von Banken in einer digitalen Welt beeinflusst die Ausrichtung des Geschäftsmodells gleichermaßen wie Investitionen in die Bankenarchitektur. Dabei wird darauf zu achten sein, dass der Fokus nicht nur im „RUN the bank“ liegt, sondern vor allem im „CHANGE the bank“. Das zukünftige Angebot orientiert sich hierbei sehr stark an den Bedürfnissen von Kunden, Mitarbeitern/Mitarbeiterinnen, Partnern und Wettbewerbern. Die Erfüllung der Erwartungen unterschiedlicher Zielgruppen (v. a. Firmenkunden und Privatkunden) stehen hierbei im Mittelpunkt.

Was sind nun wichtige Erfolgsfaktoren?

Die zukünftigen Geschäftsmodelle der Banken sollten auf folgende Themen entsprechende Antworten haben:

Bedürfnisse der Kunden kennen, verstehen und die passenden Produkte und Services anbieten. Ein sensibler Umgang mit Daten, der Mut zur Nutzung von Innovationen und die Zusammenarbeit mit FinTechs sind dabei wichtige Erfolgsfaktoren. Das Angebot in der Filiale wird dabei immer mehr durch Funktionen in der Smartphone App abgelöst.
Neben der Umsetzung von regulatorischen Vorgaben geht es immer mehr um die Öffnung der Banken nach außen. Die Nutzung der Innovationskraft neuer Anbieter im Markt durch FinTechs oder GAFAs kann sich durchaus positiv auswirken. Neue Anbieter stellen die Interessen und Gewohnheiten der Kunden häufig anders in den Mittelpunkt.
Die Transformation der Banken-IT in eine modulare Innovations-IT mit immer kürzeren Updatezyklen muss mit der wachsenden Regulatorik und den zunehmenden Kundenerwartungen Schritt halten. Dies eröffnet zudem Möglichkeiten, neue Ertragsquellen zu erschließen.
Betrachtet man die operative Kostensituation der Banken, sind die Belastungen trotz unvermeidbarer regulatorischer Investitionen in den letzten Jahren nur leicht gestiegen. Die Eigenkapitalrendite deutscher Banken liegt im internationalen Vergleich dagegen auf einem sehr niedrigen Niveau. Der aktuelle Konsolidierungskurs im Bankensektor wird sich weiter verstärken. Dabei werden sich zentrale Produkt- und Plattformanbieter für spezifische kunden- und marktrelevante Themen herauskristallisieren. Zusätzlich wird es eine weitere Verschmelzung von IT-Dienstleistern sowie eine Konsolidierung von Marktfolgetätigkeiten geben. Zudem lässt sich auch die Bildung von sog. Kompetenzzentren in Verbünden beobachten.
Ein weiterer wichtiger Faktor ist die Veränderungsbereitschaft. Der Kulturwandel bzw. die Veränderungen und deren Akzeptanz sollte von gestalterischem Handeln vonseiten des Bankmanagements geprägt sein.

Sicherlich gibt es noch weitere Faktoren, die hier genannt werden können. Der eingesetzte Trend lässt sich jedoch eindeutig erkennen. Dieser wird auch noch deutlich an Fahrt zunehmen.

Wer sind nun die Gewinner bzw. Verlierer?

Betrachtet man die Möglichkeiten der Marktpositionierung, bilden sich unterschiedliche Entwicklungsszenarien heraus. Ein Schwerpunkt liegt hier bei der Fokussierung auf eine bestimmte Region oder in der Konzentration auf ein spezielles Produkt. Bei diesem Szenario werden die Geschäftsmodelle adaptiert. Lokalen Banken steht hier die Möglichkeit offen, die geographische Nähe zum Kunden auszuspielen. Durch die regionale Verankerung bieten Sie ein umfassendes Produktangebot an. Die Bank besetzt hier die wichtige Kundenschnittstelle und bindet andere Dienstleister und Anbieter an. Daneben bleibt die Möglichkeit, sich über ein spezifisches Produkt oder Dienstleistungsangebot am Markt zu positionieren. Lokale und überregionale Banken haben hier vergleichbare Ansätze und treten in eine Konkurrenzsituation. Banken ohne regionale Verankerung oder eine entsprechende Positionierung als Anbieter werden im Wettbewerb früher oder später der fortschreitenden Konsolidierung zum Opfer fallen.

Betrachten wir nun die Beziehung zwischen der traditionellen Bank und den Kunden. Hier kommt es zu einem schnellen und nachhaltigen Durchbruch neuer Technologien, die von Kundenseite genutzt werden. Ein nachhaltiger Nutzen wird erreicht, wenn ein Anbieter einem Kunden ein optimales Angebot erstellt, erklärt und liefert. Je besser die technologischen Möglichkeiten genutzt werden, umso einfacher kann es für den Kunden sein. So ist bei vielen Dienstleistungen, z. B. im Zahlungsverkehr, kein Kundenkontakt notwendig. Alternativ kann sich die Bank als Anbieter für Produkte positionieren, die aus Risikosicht nicht über Plattformen angeboten werden (z. B. Finanzierungen). Die Rolle der Bank als Risikopartner ist vor allem für überregionale Banken aufgrund der Diversifizierung interessant. Wenn es dann noch gelingt, Skalenvorteile nutzen zu können, sind die Voraussetzungen schon vielversprechend. Wichtig hierbei wird jedoch sein, das Produktangebot weiter zu erneuern und den Kundennutzen weiterhin im Blick zu haben. Die Kundennähe, die nach traditioneller Art immer durch eine vor Ort-Präsenz definiert wurde, wird immer mehr durch die Digitalisierung zurückgedrängt.

Durch eine Vielzahl erfolgreicher Projekte kennen wir die kritischen Erfolgsfaktoren auf der strategischen und der operativen Ebene und verfügen über umfangreiche Erfahrungen bei der Ausrichtung des Geschäftsmodells bzw. der Erreichung der gewünschten Positionierung.

Gerne sichern wir Ihren Projekterfolg mit unserer Methoden- und Umsetzungskompetenz in diesem komplexen Themenumfeld, damit die Bewertung der Zukunftstrends wieder ausgeglichen ist.

Nutzen Sie unsere umfangreichen Erfahrungen und sprechen Sie mit uns:

bankon Management Consulting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://www.bankon.de
E‑Mail: research@bankon.de

Schlagwort: MaRisk

Simplyfying IT-Compliance

6. MaRisk-Novelle Änderungen AT 9 wesentliche Auslagerung für Sparkassen

Herausforderungen für nicht systemrelevante Kreditinstitute

„Handlungsdruck für Banken – BAIT-Neuerungen 2021“

„IT-Regulatorik 2021“ – Wieviel Regulatorik vertragen die deutschen Banken?

Deutscher Bankensektor: Quo vadis? – Gewinner oder Verlierer

Neueste News und Artikel

Archiv

Sie finden uns auch hier:

Herausforderungen für nicht systemrelevante Kreditinstitute

Neueste News und Artikel

Archiv

Schlagwörter

Sie finden uns auch hier: