Deutsche Kreditwirtschaft unterschätzt BAIT Bedeutung der IT-Regulierung nimmt durch EZB weiter zu

BAIT seit 11/2017 in Kraft – meist kleine Umsetzungsprojekte für formale Compliance

Im November 2017 sind die „Bankaufsichtlichen Anforderung an die IT“ (BAIT) der BaFin in Kraft getreten. Die FMA hat für Österreich mit dem „FMA-LEITFADEN IKT-Sicherheit in Kreditinstituten“ ähnliche Vorgaben veröffentlicht. Die Europäische Zentralbank (EZB) scheint den Anforderungen der BaFin nun auf europäischer Ebene weiter zu folgen.[1]

Wie in der Abbildung 1 dargestellt, sind BAIT in acht Themenfeldern untergliedert, welche unterschiedliche Ebenen der IT-Arbeit einer Bank betreffen – von der IT-Strategie bis zum IT-Betrieb.

grafische Darstellung des Ordnungsrahmens BAIT inkl. identifiziertem HandlungsbedarfAbbildung 1: Ordnungsrahmen BAIT inkl. identifiziertem Handlungsbedarf

Ein qualitativer Abgleich der BAIT mit den Anforderungen aus der 5. MaRisk-Novelle zeigt Neuerungen und hohen Handlungsbedarf insbesondere auf der Steuerungsebene (vgl. Beispiele für ausgewählte Handlungsfelder in Tabelle 1).

Ausgewählte HandlungsfelderTabelle 1: Ausgewählte Handlungsfelder

Viele Institute haben den aus BAIT resultierenden Handlungsbedarf in den verschiedenen Bereichen der ORG/IT erkannt, investieren jedoch nach unseren Beobachtungen bisher nur geringe Aufwände in die Umsetzung. So werden zumeist offensichtliche Lücken geschlossen oder formale Maßnahmen zur Sicherstellung der Konformität durchgeführt. Als Grund hierfür wird häufig genannt, dass die BAIT keine neuen Anforderungen an die Institute enthielten, sondern lediglich existierende Anforderungen aus den bereits geltenden Mindestanforderungen an das Risikomanagement (MaRisk) konkretisierten (vgl. BaFin 2017).

Diese Argumentation der Aufsicht auf das eigene Haus, ohne eingehende Analyse zu übertragen, könnte sich als Trugschluss erweisen. Denn die BAIT konkretisieren die bisherigen Vorgaben aus den MaRisk und des §§ 25a, 25b KWG zur Ausgestaltung der IT der Banken und stellen die Erwartungshaltung der Aufsichtsbehörden an die Institute dar. Damit entfallen im Umkehrschluss zuvor gegebene Interpretationsmöglichkeiten und -spielräume innerhalb der Institute.

Abonnieren Sie unseren Newsletter

Erfahren Sie alle 2 Wochen von unseren Experten, was gerade wichtig ist.

Senden Sie mir den BankingHub Newsletter zu. Ich bin ausdrücklich damit einverstanden, den Newsletter zu erhalten und weiß, dass ich mich jederzeit problemlos wieder abmelden kann.

Nachhaltige Umsetzung BAIT erfordert Verzahnung mit strategischen ORG/IT-Zielen und Projektportfolio

Wenn die in der BAIT postulierten Maßnahmen lediglich als „Störfeuer der Compliance-Abteilung“ aufgefasst werden, behindern sie eher die Erreichung der strategischen ORG/IT-Ziele, als dass sie deren Erreichung unterstützen.

Effizient und nachhaltig gelingt die Umsetzung nur dann, wenn die Compliance-Anforderungen mit den strategischen ORG/IT-Zielen verzahnt und mit relevanten Vorhaben im aktuellen Projektportfolio verflochten werden. Dies lässt sich anhand von drei Beispielen für die Verzahnung der Sicherstellung der BAIT-Compliance mit den ORG/IT-Entwicklungszielen verdeutlichen:

  1. Die IT-Sicherheit von Banken sieht sich einer zunehmenden Bedrohung gegenüber. Zum einen steigt die Frequenz von Cyberattacken. Zum anderen vergrößern regulatorische Initiativen, wie zum Beispiel PSD II, die Angriffsflächen für die IT der Banken, da diese nun auch für Drittanbieter geöffnet werden müssen. Daher sollten in einer modernen ORG/IT dedizierte Bausteine zum Schutz dieser eingeführt werden. Wichtige Elemente hierzu sind ohnehin Gegenstand der Anforderungen aus den BAIT, wie beispielsweise die Etablierung der Rolle eines Informationssicherheitsbeauftragten, sowie der Einführung einer Informationssicherheitsleitlinie. Diese Bausteine, bzw. IT-Sicherheit im Allgemeinen, müssen als integraler Bestandteil der Banken-IT und nicht als nachträglicher Anbau etabliert werden. Nur so sind das erforderliche Sicherheitsniveau zu erreichen und regulatorische Anforderungen zu erfüllen, ohne gleichzeitig die Realisierung wichtiger Ziele der ORG/IT zu bremsen.
  2. Im Rahmen der Digitalisierung werden oftmals (voll-)automatisierte End-to-End-Prozesse (z.B. zur automatisierten Kreditvergabe) angestrebt. Dadurch können etwaige IDVen entfallen und somit zeitintensive Entwicklungs-, Test- und Dokumentationstätigkeiten zum Betrieb von IDVen eingespart werden. So kann der Aufwand zur Dokumentation und Pflege eines IDV-Registers, das je nach Institut mehrere hundert bis tausende IDVen beinhalten kann, stark reduziert werden. Neben diesen Zeitersparnissen kann damit der Einsatz von IDV-Lösungen im Rahmen der ORG/IT effizienter gestaltet werden.
  3. Eine leistungsfähige ORG/IT sollte eine geringe Time-to-Market und eine hohe Flexibilität ermöglichen, um schnell auf veränderte Bedürfnisse des Marktes reagieren und diese proaktiv angehen zu können. Dem gegenüber stehen jedoch erweiterte Anforderungen aus den BAIT, welche den Steuerungs- und Dokumentationsaufwand für IT-Projekte erhöhen und somit die schnelle Marktreife neuer und innovativer Lösungen verzögern. Um diesem Konflikt Herr zu werden, sind das IT-Projekt- und Portfoliomanagement bezüglich der institutseigenen Zielsetzung zwischen Run the Bank und Change the Bank und der Erfüllung regulatorischer Anforderungen auszutarieren. Steuerungs- und Vorgehensmodelle für das IT-Projekt- und IT-Portfoliomanagement sind grundlegend auf die Bedürfnisse der eigenen Innovationsstrategie abzustimmen, um dieser nicht im Wege zu stehen. Schnelles und marktnahes Verproben innovativer Lösungen kann nicht durch Strukturen erfolgen, welche mit Blick auf die Erfüllung regulatorischer Anforderungen und auf Kosten der Durchlaufzeit angepasst wurden.

Die (regulatorischen) Anforderungen an die ORG/IT steigen weiter

Um die Erwartungen der nationalen und internationalen Aufsicht(en) nachhaltig zu erfüllen, sind die Kernaspekte der BAIT im Bewusstsein der gesamten Bank zu verankern.

Es mehren sich die Zeichen, dass aktuelle ORG/IT-Themen bei den internationalen und nationalen Aufsichtsbehörden zunehmend an Bedeutung gewinnen. Die aktuellen Prüfungsschwerpunkte der BaFin mit zunehmendem Fokus auf die Angemessenheit und Sicherheit von IT-Systemen dienen hier als klares Indiz (vgl. BaFin 2018b). Gleichzeitig plant die BaFin bereits eine inhaltliche Erweiterung der BAIT, zum Beispiel, bei Ausführungen zu Cybersecurity und zu kritischen Infrastrukturen (vgl. BaFin 2018a). Mit der geplanten Veröffentlichung der „EZB BAIT[2] im Jahr 2018 werden die Institute auf europäischer Ebene nach unserer Meinung mit einer zunehmend detaillierteren Prüfung, inhaltlich angelehnt an die deutsche BAIT, konfrontiert. Die Vergangenheit zeigt eine deutliche Tendenz zur inhaltlichen Nachschärfung nationaler regulatorischer Initiativen durch die europäischen Aufsichtsbehörden. Dabei werden grundlegende Inhalte deutlich konkretisiert und zur schärferen Prüfung herangezogen, als bis dato auf nationaler Ebene praktiziert. Dies lässt sich sowohl aus Beobachtungen beim Asset Quality Review (AQR) als auch jüngst beim Targeted Review of Internal Models (TRIM) schließen.

Resümee und Ausblick: IT im Zeitgeist der Regulatorik

Im Ergebnis gilt: Aufgrund der tiefgehenden und weitreichenden Verflechtung der BAIT (s. Abbildung 1) empfehlen wir eine detaillierte Auseinandersetzung mit den BAIT-Themenfeldern in einem größeren ORG/IT-Kontext. Isolierte Umsetzungsmaßnahmen können kurzfristig die BAIT-Compliance sicherstellen und offensichtliche Lücken schließen. Allerdings können diese im weiteren Verlauf nicht nur zu komplexeren regulatorischen Nacharbeiten (bspw. im Rahmen der zukünftigen „EZB BAIT“), sondern auch zu Konflikten oder nicht gehobenen Synergien bei der strategischen Ausrichtung der ORG/IT führen. Mit der geplanten Veröffentlichung der „EZB BAIT“ werden die EZB-beaufsichtigen Institute nach unserer Erwartung mit einer zunehmend inhaltlich detaillierteren Prüfung konfrontiert. Andere Initiativen der europäischen Aufsichtsbehörden aus der Vergangenheit zeigen eine deutliche Tendenz zur inhaltlichen Nachschärfung nationaler regulatorischer Initiativen. Umso mehr sind eine Verzahnung der Maßnahmen zur Erreichung der BAIT-Compliance mit den strategischen ORG/IT-Entwicklungsmaßnahmen und ein Widerhall dieser Verzahnung im aktuellen Projektportfolio zu empfehlen.

 

[1] Gemäß EBA Working Plan und nach aktuellen Recherchen der Börsen-Zeitung werden die BAIT von der EZB und der European Banking Authority (EBA) als Ausgangspunkt für eine Europa-weite Regulierung herangezogen (vgl. EBA 2018, Börsen-Zeitung 2018).

[2] „EZB BAIT“ bezeichnet hier kurz die Initiative der EZB, die durch die BaFin initiierten BAIT im europäischen Regulierungsrahmen aufzunehmen.

 

Referenzen

Mit BankingHub keinen Trend verpassen

Einfach E-Mail-Adresse eingeben, und Sie erhalten alle 2 Wochen die neuesten Analysen und Berichte unserer Banking-Experten – direkt in Ihr Postfach.

Senden Sie mir den BankingHub Newsletter zu. Ich bin ausdrücklich damit einverstanden, den Newsletter zu erhalten und weiß, dass ich mich jederzeit problemlos wieder abmelden kann.

Stephan Sahm

Senior Manager Office Frankfurt
Bild des Autors Josef Schoenenberg

Josef Schönenberg

Senior Manager Office Münster
Bild des Autors Carl Philipp Mueller

Carl Philipp Müller

Senior Consultant Office Hamburg
Bild des Autors Patrick Piechulik

Patrick Piechulik

Senior Consultant Office Münster
Bild des Autors Niklas Schwarzer

Niklas Schwarzer

Senior Consultant Office Frankfurt

Autoren

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Mit BankingHub immer auf dem Laufenden!

Einfach E-Mail-Adresse eingeben, und Sie erhalten alle 2 Wochen die neuesten Analysen und Berichte unserer Banking-Experten – direkt in Ihr Postfach. Ich weiß, dass ich den Newsletter jederzeit wieder kündigen kann.