Verschärfte Anforderungen an IT-Systeme: Die BaFin macht Druck

Die Mindestanforderungen an das Risikomanagement (MaRisk) wurden erstmals von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) Ende 2005 veröffentlicht. Seit dem ersten Rundschreiben wurden diverse Erweiterungen vorgenommen. So war zum Beispiel noch 2012 keine Rede von individueller Datenverarbeitung (IDV), was pikanter Weise auch selbst entwickelte Excel-Dateien beinhalten kann.

Seit der Konkretisierung oder auch Verschärfung der Richtlinien in 2017 sind diese, damals wie heute in Unternehmen gängigen Werkzeuge, ebenfalls in den Fokus der BaFin gerückt. Was bedeutet dies für Finanzinstitute und wo könnte die Reise hingehen?

Am 20. Dezember 2005 wurden erstmals die Mindestanforderungen an das Risikomanagement (MaRisk) als ein Ergebnis des Baseler Ausschusses für Bankenaufsicht zur Kapitaladäquanz von Banken, bekannter unter der Bezeichnung Basel II, veröffentlicht. Das umfassende bankeninterne Regelwerk ist in zwei Teile untergliedert: In einen allgemeinen Teil (AT) sowie dem besonderen Teil (BT). In diesem Blogbeitrag möchte ich mich vor allem dem Unterpunkt AT 7.2, zur Technisch-organisatorischen Ausstattung, widmen.

MaRisk AT 7.2 Technisch-organisatorische Ausstattung

Bei der Technisch-organisatorischen Ausstattung von Finanzinstituten schreibt die BaFin u.a. vor: „Die IT-Systeme (Hardware- und Software-Komponenten) und die zugehörigen IT-Prozesse müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen“. Die dazugehörigen Prozesse müssten zudem regelmäßig von „fachlich und technisch zuständigen Mitarbeitern“ überprüft werden.  Dazu gehöre auch, dass IT-Systeme vor dem ersten Einsatz und nach jeder wesentlichen Veränderung zu testen und abzunehmen seien. Was unter einer „wesentlichen Veränderung“ zu verstehen sei, müsse laut BaFin individuell im Einzelfall bewertet werden. Zusätzlich seien „angemessene Überwachungs- und Steuerungsprozesse einzurichten, die insbesondere die Festlegung von IT-Risikokriterien, die Identifikation von IT-Risiken, die Festlegung des Schutzbedarfs, daraus abgeleitete Schutzmaßnahmen für den IT-Betrieb sowie die Festlegung entsprechender Maßnahmen zur Risikobehandlung umfassen“. Dies gelte insbesondere auch für die von Fachbereichen selbst entwickelten Anwendungen zur individuellen Datenverarbeitung (IDV).

Grundsätzlich muss hierbei zunächst geklärt werden, was wir unter der individuellen Datenverarbeitung (IDV) zu verstehen haben. In den meisten Fällen handelt es sich bei IDV, international auch End User Computing (EUC) genannt, um selbst entwickelte Anwendungen (z.B. Tabellenkalkulationsprogramme wie Microsoft Excel) oder die Optimierung und Anpassung einer Standardsoftware für die eigenen Belange.

Was bedeuten die verschärften Anforderungen der BaFin für Finanzinstitute in der Praxis?

Diese Frage muss von mehreren Seiten betrachtet werden: Zum einen geht es um Überwachungs- und Steuerungsprozesse. Dieser wichtige Bereich wurde in der Vergangenheit immer mehr ausgeweitet. Sowohl bei Verbandsprüfern als auch bei den Kontrolleuren der BaFin nahm dieses Themengebiet in der Vergangenheit einen gewichtigen Teil der Prüfung von Vorgaben der AT 7.2 ein. Hinter vorgehaltener Hand ist zu hören, dass die Prüfer in der jüngeren Vergangenheit andere Bereiche weniger streng kontrollierten, damit Banken möglicherweise vorhandene organisatorische Lücken in diesem Zusammenhang höher priorisiert schließen können. Meine Einschätzung ist, dass es künftig eher um die Einhaltung dieser Prozesse als um den grundsätzlichen Aufbau der Steuerungs- und Überwachungsfunktion geht. Hier haben also die meisten Kreditinstitute ihre Hausaufgaben gemacht.

Ganz anders sieht es bei der Sicherstellung der Hard- und Softwarekomponenten aus. Dieses Prüfungsgebiet wurde speziell im Softwarebereich in der Vergangenheit bei vielen Finanzinstituten nur vordergründig berücksichtigt. Auch wenn die Prozesse für die Einführung und den Einsatz neuer Softwaretools und eigens entwickelter Programme zumeist vorhanden sind und sich der organisatorische Aufwand dadurch deutlich vergrößert hat, hapert es doch an der Umsetzung dieser internen Vorgaben.

Druck durch die BaFin wird größer

Speziell der Teilbereich IDV, welcher seit mehreren Jahren bei vielen Banken und Sparkassen einen immer größeren Stellenwert einnimmt, rückt bei den Prüfern zunehmend in die Betrachtung.  Der Druck der BaFin bzw. der Verbandsprüfer ist bei einzelnen Instituten bereits so groß, dass die Nutzung zum Beispiel von Tabellenkalkulationsprogrammen für MaRisk-relevante Vorgänge durch interne Anweisungen komplett untersagt wurde.

Zweifelsfrei bergen selbst entwickelte Kalkulationsprogramme Risiken. Diese lassen sich aber durch geeignete Maßnahmen durchaus in den Griff bekommen und auf ein Minimum reduzieren. Der Mehrwert dieser individuell konzipierten Helfer übersteigt bei Einhaltung einiger Grundregeln sicherlich das Risiko möglicher Fehler. So ist auf einige Punkte zwingend zu achten, die nicht zu Unrecht im Rundschreiben 10/2017 (BA) als Ergänzung zu den Ausführungen in den BAIT aufgeführt werden. Dort heißt es zum Beispiel: „Die Anwendung (IDV, Anmerkung des Autors) sowie deren Entwicklung sind übersichtlich und für sachkundige Dritte nachvollziehbar zu dokumentieren.“

Dass dies, ähnlich wie zum Beispiel der Schutz von IDV gegen unbeabsichtigte Änderungen, selbstverständlich sein sollte, versteht sich von allein. Allein schon aus ureigenem Interesse eines Kreditinstituts sollten diese Punkte, losgelöst von der regulatorischen Anforderung, entsprechend technisch und organisatorisch geregelt sein. Schließlich möchte niemand, dass bei einem möglichen Mitarbeiterwechsel das Fachwissen gleich mit die Bank verlässt oder Dateien versehentlich verändert werden.

Der Office Process Manager von agentes hilft bei der Umsetzung

Vorausschauend lässt sich anmerken, dass der Bereich IDV bei den meisten Kreditinstituten (und somit auch bei den Prüfern) in Zeiten der Niedrigzinsphase und der damit einhergehenden Kostensensibilität eine immer wichtiger werdende Rolle einnehmen wird. Finanzinstitute werden sich diesem Thema noch mehr widmen müssen. Allerdings: Die technische Unterstützung zur Einhaltung der regulatorischen Vorgaben ist auf dem Markt vorhanden. Die elektronische Standardlösung aOPM, eine Software der agentes solutions GmbH, die speziell für dieses Themengebiet entwickelt wurde, hilft bei der Umsetzung, Kontrolle und Einhaltung dieser Anforderungen. Wir müssen also auch in Zukunft nicht auf IDV verzichten, um die Prozesse auch in rechnungsrelevanten Bereichen bei Kreditinstituten zu optimieren. Eine gute Nachricht.

 

Bild: Shutterstock

Ein Gedanke zu “Verschärfte Anforderungen an IT-Systeme: Die BaFin macht Druck”

  1. Patrick Scheerer

    Vielen Dank an den Autor. Endlich wurde mal ein nicht ganz einfacher Sachverhalt verständlich und ohne Verwendung von kompliziertem Fachchinesisch erklärt. So kann dies auch von einem Nicht-Insider nachvollzogen werden. Gerne auch für Nachahmer zu empfehlen!

Hinterlassen Sie eine Antwort

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.