Schlagwort: Risikoanalyse

Geld

ZAIT – Regulatorik für Zahlungsinstitute und E‑Geld-Institute

„Frü­her oder spä­ter krie­gen wir Euch alle“ mag die Finanz­auf­sicht (flap­sig for­mu­liert) gedacht haben, als sie mit den Zah­lungs­dienst­auf­sicht­li­chen Anfor­de­run­gen an die IT (ZAIT) ihre auf­sichts­recht­li­chen Vor­ga­ben auch auf Zah­lungs­in­sti­tu­te und E‑Geld-Insti­tu­te aus­ge­dehnt hat.

Der­zeit befin­den sich die ZAIT in der Kon­sul­ta­ti­on – jedoch ist nach Abschluss die­ser unmit­tel­bar mit einer Gül­tig­keit der ZAIT zu rechnen.

Unter­stützt wird die­se Annah­me durch die Tat­sa­che, dass die ZAIT das Kapi­tel „Kun­den­be­zie­hun­gen mit Zah­lungs­dienst­nut­zern“ for­mu­liert, das nach der Kon­sul­ta­ti­on auch Bestand­teil der Ban­ken­auf­sicht­li­chen Anfor­de­run­gen an die IT (BAIT) wird.

Die Begrün­dung für die pla­ka­ti­ve Ein­lei­tung die­ses Arti­kels gibt die Über­sicht der auf­sichts­recht­li­chen Anfor­de­run­gen, die sei­tens der Finanz­auf­sicht bis­her vor­ge­ge­ben wurden.

ZAIT 1 RJO

Wur­den zu Beginn Ban­ken und Ver­si­che­run­gen in den Mit­tel­punkt gerückt und ent­spre­chen­de auf­sichts­recht­li­che Anfor­de­run­gen für die siche­re Aus­ge­stal­tung der IT-Sys­te­me sowie der zuge­hö­ri­gen Pro­zes­se und die Umset­zung der IT-Gover­nan­ce ein­ge­führt, folg­ten bereits 2019 spe­zi­fi­sche Anfor­de­run­gen für Kapi­tal­ver­wal­tungs­ge­sell­schaf­ten. Dazwi­schen wur­de für beson­ders kri­ti­sche IT-Sys­te­me das KRI­TIS-Modul ein­ge­führt. Im Jahr 2020 erfuh­ren die BAIT eine deut­li­che Erwei­te­rung, die vor allem den Infor­ma­ti­ons­ver­bund in den Mit­tel­punkt rück­te und sei­ne Defi­ni­ti­on gegen­über den bis­her gül­ti­gen BAIT deut­lich ausbaute.

Im Jahr 2021 befin­den sich nun die ZAIT in der Kon­sul­ta­ti­ons­pha­se. Zunächst behan­deln wir in die­sem Arti­kel zwei Fragen:

  • Wen betref­fen die ZAIT?
  • Wie unter­schei­den sich die ZAIT von den ande­ren auf­sichts­recht­li­chen Anfor­de­run­gen an die IT?

Wen betref­fen die ZAIT?

Betrof­fen von den ZAIT sind Zah­lungs­in­sti­tu­te und E‑Geld-Insti­tu­te:

  • Zah­lungs­in­sti­tu­te:
    • Der­zeit sind etwa 70 Zah­lungs­in­sti­tu­te bei der Finanz­auf­sicht registriert
    • Zah­lungs­in­sti­tu­te betrei­ben gewerbs­mä­ßig Zah­lungs­diens­te wie z. B. Ein­zah­lungs- oder Aus­zah­lungs­ge­schäft, Lastschrift‑, Über­wei­sungs- oder Zah­lungs­kar­ten­ge­schäft ohne Kre­dit­ge­wäh­rung oder Zah­lungs­ge­schäft mit Kreditgewährung
    • Auch Anbie­ter von Zah­lungs­aus­lö­se­diens­ten oder Kon­to­in­for­ma­ti­ons­diens­ten zäh­len zu den Zahlungsinstituten
  • E‑Geld-Insti­tu­te:
    • Der­zeit sind neun E‑Geld-Insti­tu­te bei der Finanz­auf­sicht registriert
    • E‑Geld-Insti­tu­te bege­ben E‑Geld
    • E‑Geld ist der elek­tro­nisch, dar­un­ter auch magne­tisch, gespei­cher­te mone­tä­re Wert in Form einer For­de­rung an den Emit­ten­ten, der gegen Zah­lung eines Geld­be­trags aus­ge­stellt wird, um damit Zah­lungs­vor­gän­ge im Sin­ne des BGB durchzuführen

Somit han­delt es sich quan­ti­ta­tiv um eine eher klei­ne Zahl betrof­fe­ner Insti­tu­te, für die­se erfah­ren die vor­ge­ge­be­nen Anfor­de­run­gen aber eine deut­li­che Anspruchssteigerung.

Was sind die Gemein­sam­kei­ten und Unter­schie­de der ZAIT zu ande­ren auf­sichts­recht­li­chen Anforderungen?

Auch der grund­sätz­li­che Auf­bau bei­der Doku­men­te ist in sei­ner Struk­tur nahe­zu iden­tisch. Eben­so steht der Infor­ma­ti­ons­ver­bund bei den ZAIT im Mit­tel­punkt der Betrach­tun­gen. Aus bei­den Anfor­de­rungs­do­ku­men­ten her­aus gilt für die Insti­tu­te das Pro­por­tio­na­li­täts­prin­zip in der Umset­zung der gefor­der­ten Maßnahmen.

Was unter­schei­det die ZAIT von ande­ren regu­la­to­ri­schen Vor­ga­ben wie z. B. den BAIT? Fünf Punk­te fal­len hier auf und sol­len kurz betrach­tet wer­den. Sie betref­fen fol­gen­de Kapitel:

  • IT-Gover­nan­ce
  • Infor­ma­ti­ons­si­cher­heits­ma­nage­ment
  • IT-Pro­jek­te und Anwendungsentwicklung
  • Aus­la­ge­rung und sons­ti­ger Fremdbezug
  • Not­fall­ma­nage­ment

Im Zusam­men­hang mit der IT-Gover­nan­ce liegt die wesent­li­che Unter­schei­dung dar­in, dass eine Aus­rich­tung der IT an eta­blier­ten Stan­dards zu erfol­gen hat. Hier wer­den drei Stan­dards expli­zit genannt (IT-Grund­schutz des Bun­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI), die inter­na­tio­na­len Sicher­heits­stan­dards ISO/IEC 270XX der Inter­na­tio­nal Orga­niza­ti­on for Stan­dar­diza­ti­on und der Pay­ment Card Indus­try Data Secu­ri­ty Stan­dard (PCIDSS)).

Im Infor­ma­ti­ons­si­cher­heits­ma­nage­ment besteht die Mög­lich­keit, die Funk­ti­on des Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten mit ande­ren Funk­tio­nen im Unter­neh­men zu kom­bi­nie­ren oder, in beson­de­ren Fäl­len, auch außer­halb des Unter­neh­mens anzusiedeln.

Für IT-Pro­jek­te und Anwen­dungs­ent­wick­lung gibt es expli­zi­te Anfor­de­run­gen an die durch­zu­füh­ren­de Aus­wir­kungs­ana­ly­se und die Nut­zung des Begriffs „wesent­li­che Ver­än­de­rung“ im Zusam­men­hang mit Vor­ga­ben für die Testdurchführung.

Das Kapi­tel Aus­la­ge­rung und sons­ti­ger Fremd­be­zug ent­hält deut­lich umfang­rei­che­re Anfor­de­run­gen in den ZAIT als in den BAIT, die es zu berück­sich­ti­gen gilt.

Im Not­fall­ma­nage­ment wird die Not­wen­dig­keit zur Durch­füh­rung von Aus­wir­kungs­ana­ly­sen und Risi­ko­ana­ly­sen gefordert. 

Ers­te Schrit­te für Zah­lungs­in­sti­tu­te mit den ZAIT:

In einem ers­ten Schritt gilt es für die Zah­lungs­in­sti­tu­te und die E‑Geld-Insti­tu­te, ihre indi­vi­du­el­le Aus­gangs­si­tua­ti­on vor dem Hin­ter­grund der ZAIT zu ken­nen. Nur dann lässt sich der erfor­der­li­che Hand­lungs­be­darf identifizieren.

Vor­ran­gig gilt es, einen Über­blick über das eige­ne Insti­tut, die genutz­ten Aus­la­ge­run­gen sowie die Zah­lungs­dienst­nut­zer zu erhal­ten. Die­ses schließt auch den Infor­ma­ti­ons­ver­bund ein, der ein Nukle­us der ZAIT ist.

Inhalt­lich ste­hen fünf Hand­lungs­fel­der im Mit­tel­punkt der Erhebung.

ZAIT 2 RJO
  1. In wel­chem Umfang sind bereits Vor­be­fas­sun­gen zu Regu­la­to­ri­k­an­for­de­run­gen im Insti­tut erfolgt, z. B. durch eine inter­ne Erst­ana­ly­se oder die Jah­res­ab­schluss­prü­fung des Wirtschaftsprüfers?
  2. Wie steht es um die Gover­nan­ce des Insti­tuts, z. B. in Bezug auf eine durch­gän­gi­ge und doku­men­tier­te stra­te­gi­sche Aus­rich­tung oder ein eta­blier­tes inter­nes Kon­troll- und Prüfungswesen?
  3. Wird heu­te bereits auf eta­blier­te Stan­dards zurück­ge­grif­fen, auch über die in der ZAIT genann­ten hin­aus, z. B. ITIL oder Cobit?
  4. Wie trans­pa­rent sind die bestehen­den Aus­la­ge­run­gen tech­nisch und orga­ni­sa­to­risch und in wel­cher Form sind die­se in Kon­troll­pro­zes­se eingebunden?
  5. Wel­chen Stand hat die per­so­nel­le und tech­ni­sche Aus­stat­tung des Insti­tuts quan­ti­ta­tiv und qualitativ?

Die Ermitt­lung der Aus­gangs­si­tua­ti­on kann mit­tels eines Quick-Checks erfol­gen, um auf Grund­la­ge die­ser Infor­ma­tio­nen einen Über­blick über den erfor­der­li­chen Hand­lungs­be­darf zu erhal­ten und eine Indi­ka­ti­on für die Aus­ge­stal­tung des Pro­por­tio­na­li­täts­prin­zips zu gewinnen.

In einer Aus­bau­stu­fe kann sich eine Rei­fe­grad­ana­ly­se anschlie­ßen, für die es sich emp­fiehlt, die­se bereits an einen eta­blier­ten Stan­dard aus­zu­rich­ten, z. B. der ISO 27000-Reihe.

Neben der inhalt­li­chen Ana­ly­se zu den Kri­te­ri­en des Stan­dards ermög­licht ein sol­ches Vor­ge­hen auch eine Visua­li­sie­rung für das Management.

ZAIT 5 RJO

Exper­ti­se ban­kon Manage­ment Consulting

Die Exper­ti­se der ban­kon-Bera­ter aus mehr als fünf­zehn Jah­ren Erfah­rung aus Pro­jek­ten im Kon­text der Ban­ken-IT sichert pra­xis­er­prob­tes Wis­sen. Erfah­run­gen aus einer Viel­zahl von Regu­la­to­rik­pro­jek­ten bei Finanz­dienst­leis­tern gewähr­leis­ten die Sicher­stel­lung von Gover­nan­ce- und Regu­la­to­rik-Anfor­de­run­gen. Lang­jäh­ri­ge Pra­xis­exper­ti­se aus Pro­jekt- und Lini­en­tä­tig­keit bei Zah­lungs­in­sti­tu­ten schaf­fen den erfor­der­li­chen fach­li­chen, pro­zes­sua­len und tech­ni­schen Hintergrund.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de


Fallschirm im Schnee

6. MaRisk-Novelle Änderungen AT 9 wesentliche Auslagerung für Sparkassen

Herausforderungen für nicht systemrelevante Kreditinstitute

ban­kon berät seit Jah­ren sei­ne Kun­den in Ban­ken und Spar­kas­sen bei der Bewäl­ti­gung von regu­la­to­ri­schen Her­aus­for­de­run­gen, die wei­ter­hin mit einer nicht enden­den Dyna­mik die Orga­ni­sa­ti­ons- und Pro­zess­struk­tu­ren der Häu­ser tref­fen. Wir beob­ach­ten für unse­re Kun­den die regu­la­to­ri­schen Ent­wick­lun­gen und sind zu einem frü­hen Zeit­punkt nah an den Auf­sichts­be­hör­den und deren Anfor­de­rungs­ent­wick­lun­gen dran. Aktu­ell sind die Arbei­ten der BaFin und der Spar­kas­sen zum The­ma der 6. MaRisk-Novel­le Ände­run­gen AT 9 ‑Aus­la­ge­rung- in vol­lem Gan­ge. So bewer­ten wir für die Spar­kas­sen die sich nun­mehr kon­kre­ti­sie­ren­den Anfor­de­run­gen an das Out­sour­cing- und Aus­la­ge­rungs­ma­nage­ment, die Pro­vi­der­steue­rung sowie das Risikomanagement.

Für die Spar­kas­sen, die nicht der euro­päi­schen Ban­ken­auf­sicht unter­lie­gen, tre­ten die EBA-Leit­li­ni­en/­neu­en Out­sour­cing-Stan­dards erst mit Über­füh­rung in natio­na­les Recht in Kraft. Die Über­füh­rung erfolgt sei­tens der BaFin über die Novel­le des Moduls AT 9 der MaRisk (6. MaRisk-Novel­le). Die­ser Pro­zess star­te­te im Herbst 2020 und wird im Jahr 2021 mit Hoch­druck weiterverfolgt.

Sich ver­än­dern­de The­men und Rah­men­be­din­gun­gen für die Spar­kas­sen wer­den hier von ban­kon nur exem­pla­risch benannt:

  • Aus­dif­fe­ren­zie­rung in der Kate­go­ri­sie­rung von großen/komplexen vs. kleinerer/weniger kom­ple­xer Insti­tu­te im Sin­ne der MaRisk-Novellierung
  • Para­me­ter zur Gestal­tung Risi­ko­ana­ly­se und Ergän­zung einer Sze­na­rio­ana­ly­se (qua­li­ta­ti­ve Ansät­ze vs. inter­ne und exter­ne Verlustdatensammlung)
  • Kon­kre­ti­sie­rung Rol­le zen­tra­ler Aus­la­ge­rungs­be­auf­trag­ter und wei­te­rer Rol­len wie z. B. Revision
  • Gestal­tungs­spiel­räu­me für zen­tra­le Erleich­te­run­gen nutz­bar gestal­ten (gemein­sa­me Not­fall­plä­ne, Aus­la­ge­rungs­re­gis­ter, etc.)
  • Gestal­tung und Nut­zung von Auslagerungsmusterverträgen

Die deut­schen Spar­kas­sen haben unter der Regie des Spit­zen­ver­ban­des DSGV und der Regio­nal­ver­bän­de reagiert und haben Ende 2020 ein Pro­jekt mit dem Ziel auf­ge­setzt, Rah­men­be­din­gun­gen, Vor­ga­ben und Hilfs­mit­tel zur Umset­zung der Vor­ga­ben aus der 6. Novel­le für ihre Mit­glieds­in­sti­tu­te zu ent­wi­ckeln und die­se in der Fol­ge nutz­bar für die Häu­ser zu gestalten.

Der DGSV und die Regio­nal­ver­bän­de stel­len bereits heu­te und in über­ar­bei­te­ter Form zukünf­tig den Spar­kas­sen zen­tral Hand­bü­cher, Instrumente/Tools zum Aus­la­ge­rungs­ma­nage­ment sowie einen Aus­la­ge­rungs­mus­ter­ver­trag über die Kanä­le wie z. B. InDok+ und den Umset­zungs­bau­kas­ten zur Ver­fü­gung. Dar­über hin­aus kön­nen die Spar­kas­sen im Rah­men eines indi­rek­ten Steue­rungs­an­sat­zes sog. „Wer­tungs­hil­fen“ für Dienst­leis­ter über die Regio­nal­ver­bän­de in Anspruch nehmen.

Die Spar­kas­sen müs­sen heu­te und auch nach der Novel­lie­rung in Eigen­ver­ant­wor­tung die Maß­nah­men und Akti­vi­tä­ten zum Aus­la­ge­rungs­ma­nage­ment umsetzen.

Dabei wer­den die Spar­kas­sen aut­ark ent­schei­den müs­sen, in wel­chem Umfang sie auf die zen­tra­len Emp­feh­lun­gen und Instrumente/Tools der Ver­bands­sei­te zurück­grei­fen. Juris­ti­sche und kauf­män­ni­sche Bewer­tun­gen sowie Risi­ko­aspek­te wer­den von den Spar­kas­sen wei­ter­hin indi­vi­du­ell ver­ant­wor­tet wer­den müssen.

Die Gesamt­ver­ant­wor­tung für das Aus­la­ge­rungs­ma­nage­ment ver­bleibt auch nach er 6. Novel­le der MaRisk AT 9 bei der jewei­li­gen Spar­kas­se. Eine voll­stän­di­ge Ver­la­ge­rung der Ver­ant­wor­tung auf eine zen­tra­le Steue­rungs­ein­heit ist mit gro­ßer Wahr­schein­lich­keit nicht möglich.

Dem­nach müs­sen alle Spar­kas­sen in Deutsch­land nach der Been­di­gung der vor­be­rei­ten­den Ver­bands­pro­jek­te, die Umset­zung der 6. MaRisk-Novel­le Ände­run­gen AT 9 aktiv gestal­ten, die zen­tral vor­ge­ge­be­nen Emp­feh­lun­gen ihres Spit­zen­ver­bands bewer­ten und mit Blick auf die Indi­vi­dua­li­tät ihres Hau­ses die Nut­zung jeweils umsetzen.

Ger­ne hel­fen wir Ihnen bei der Bewer­tung, der Umset­zungs­ent­schei­dung und der ope­ra­ti­ven Imple­men­tie­rung der not­wen­di­gen Metho­den und Pro­zes­se und schaf­fen somit gemein­sam die opti­ma­le Aus­rich­tung Ihres Hau­ses auf die regu­la­to­ri­schen Anforderungen.

Die Exper­ti­se der ban­kon-Bera­ter aus mehr als fünf­zehn Jah­ren Erfah­rung mit Pro­jek­ten im Kon­text der MaRisk sichert pra­xis­er­prob­tes Wis­sen. Umfang­rei­che Kennt­nis von Orga­ni­sa­ti­ons­struk­tu­ren, Pro­zes­sen und IT-Sys­te­men deut­scher Spar­kas­sen gewähr­leis­ten den erfor­der­li­chen fach­li­chen und tech­ni­schen Background.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de