Freitag, 15. September 2023

Sollmaßnahmenkatalog: von der Anforderung bis zur Umsetzung

Anforderungen aus Tz. 3.6 und Tz. 3.7 BAIT sowie AT 7.2 Tz. 2 MaRisk – mit Verweisen auf VAIT und MaGo, KAIT und KAMaRisk sowie ZAIT

Christopher Uhl, Alexander Beck und Christopher Stahl, Spezialistenteam IT und Bankanwendungsverfahren, AWADO GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft

 

I. Einleitung

Der Sollmaßnahmenkatalog ist längst eine verankerte Anforderung im Rahmen der aufsichtsrechtlichen Anforderungen an die Informationstechnologie. So gilt die Anforderung, einen Sollmaßnahmenkatalog zu definieren, nicht nur für Banken, sondern für eine Vielzahl von regulierten Instituten bzw. Gesellschaften (nachfolgend „Institute” genannt). Daher wurde die Anforderung zur Definition eines Sollmaßnahmenkataloges neben den Bankaufsichtlichen Anforderungen an die IT „BAIT“ (Tz. 3.6 BAIT) auch in den Kapitalverwaltungsaufsichtlichen Anforderungen an die IT „KAIT“ (Kapitel 3, Tz. 21 KAIT), Versicherungsaufsichtliche Anforderungen an die IT „VAIT“ (Tz. 3.7 VAIT) sowie zuletzt in den Zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten „ZAIT“ (Tz. 3.6 ZAIT) dargelegt. 

Die feste Etablierung in den zuvor genannten Rechtsverordnungen stellt die gleichermaßen wichtige Bedeutung des Sollmaßnahmenkataloges zum Schutz von schützenswerten Vermögenswerten „Schutzobjekt“ dar, die die Aufsicht dem Thema damit beimisst. 

Exemplarisch regelt die BAIT sinngemäß den Sollmaßnahmenkatalog wie folgt: Gemäß Tz. 3.6 BAIT (Kapitel 3, Tz. 21 KAIT, Tz. 3.7 VAIT und Tz. 3.6 ZAIT) hat ein Institut Anforderungen zu definieren, die zur Erreichung des jeweiligen Schutzbedarfs angemessen sind und diese in geeigneter Form zu dokumentierten „Sollmaßnahmenkatalog“. Dieser enthält jedoch lediglich die Anforderungen, nicht jedoch aber deren konkrete Umsetzung.[1] Durch die Sollmaßnahmen wird dadurch ein übergeordneter Charakter gebildet werden: „was ist zu tun“ anstatt zu definieren „wie ist es zu tun“. Weiterhin hat das Institut auf Basis der festgelegten Risikokriterien einen Vergleich der Sollmaßnahmen mit den jeweils umgesetzten Maßnahmen (dem Ist-Zustand) durchzuführen (Tz. 3.7 BAIT).[2] 

 

II. Orientierung an gängigen Standards und weiteren Quellen

Eine Methodik zur Definition der Anforderungen (Sollmaßnahmen) eines Sollmaßnahmenkataloges wird durch die genannten Rechtsverordnungen nicht vorgegeben. In der Methodik bzw. Ausgestaltung der Sollmaßnahmen sind die Institute daher zunächst frei.  [...]
Beitragsnummer: 21952

Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei MeinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "BankPraktiker DIGITAL" Ihr

aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Beitrag teilen:

Produkte zum Thema:

Produkticon
Simulation und Vorbereitung einer Sonderprüfung nach § 44 KWG
Produkticon
Prüfungen nach § 44 KWG und Art. 12 SSM-VO 4. Auflage

119,00 € inkl. 7 %

Beiträge zum Thema:

Beitragsicon
KI-Implementierung im standardisierten Bankgeschäft

Nachfolgender Artikel hebt ausgewählter Anwendungsmöglichkeiten aus Finanzdienstleistungssicht inkl. praxisorientierter Tipps zur Implementierung hervor.

13.03.2024

Beitragsicon
Automation in Banken: Energieausweisdaten intelligent verarbeiten

Automatisierung in Kreditinstituten – Künstliche Intelligenz unterstützt bei der Bewältigung der EU-Taxonomie zur effizienten Datenverarbeitung.

02.05.2024

Beitragsicon
Lokalisieren von Engagements mit erhöhtem Ausfallrisiko, aber ohne RI

Überdurchschnittlich risikobehaftete Kredite gehören in den Prüfungsfokus. Eine systematische Identifizierung und anschließende Beurteilung sind notwendig.

03.06.2024

Beitragsicon
Effiziente Begleitung von Fusionsprojekten durch die Interne Revision

Ein Fusionsprojekt ist als wesentliches Projekt angemessen revisions-seitig zu begleiten. Dies ist in BT 2.1, Tz. 2 MaRisk aufsichtsrechtlich gefordert, sollt

03.06.2024

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.