Als wesentliches operationelles Risiko der Bank steht die IT vermehrt im Fokus von Bundesbank-Prüfungen. Aktuelle Erfahrungen aus zahlreichen Prüfungen zeigen den enormen Handlungsbedarf in der Bankenlandschaft, denn Feststellungen in IT-Prüfungen werden in vielen Fällen den Kategorien F3 oder F4 zugeordnet. Die wichtigsten aufsichtsrechtlichen Entwicklungen wie BAIT, MaRisk, KRITIS, sowie praxisrelevante Schwerpunkte werden in dieser Rubrik aufgezeigt.
IT-Systeme werden nicht nur relevanter, sondern auch komplexer. Mit den veröffentlichten BAIT kommen umfangreiche Konkretisierungen, die den Prozess in den Banken und Sparkassen entscheidend beeinflussen werden. Diese sind weit mehr als nur technischer Natur und stellen die Verantwortung der Geschäftsleitung in den Vordergrund.
Die BAIT wurden zusätzlich um das KRITIS-Modul ergänzt, das ausschließlich für Betreiber kritischer Infrastrukturen beschreibt, welche zusätzlichen Anforderungen zu berücksichtigen sind, um den Nachweis gemäß § 8a Abs.3 BSI-Gesetz durch den Jahresabschlussprüfer erbringen zu lassen.
Neue EBA-Empfehlungen zur Cloud-Nutzung setzen klare Vorgaben auch für Krisenszenarien, aber erleichtern den Finanzinstituten die Nutzung der Cloud-Technologien. Neu darin ist die Informationspflicht. à Das auslagernde Institut muss wesentliche Cloud-Auslagerungen an die Aufsicht melden. Zusätzlich können weitere Informationen von der Aufsicht eingefordert werden, wie z. B. die Risikoanalyse.
EZB-/EBA-getrieben (Cyber-Risiken) rücken deshalb eine bessere Identifikation, Überwachung und Steuerung von IT-Risiken intensiver in das Blickfeld neuer Vorgaben bzw. Prüfungen durch die Aufsicht. Die qualitative Bewertung und quantitative Messung von IT-Risiken gehören zu den schwierigsten Aufgaben des IT-Fachbereichs sowie des IT-Risikomanagements.
Des Weiteren führt die immer weiter anhaltende Regelungsflut zu einer größer werdenden Bedeutung sachgerechter Prozesse rund um die Compliance, die gezwungen wird schnell zu reagieren und dennoch sauber zu dokumentieren. Die Revision hat ihrerseits saubere prozessorientierte Prüfungen mit Fokus auf typische Schwachstellen der Compliance nachzuweisen.
Ich wünsche Ihnen viel Spaß beim durchstöbern unserer Themenwolke IT-Regulatorik.
Sascha Sychov, Bereichsleiter Digitalisierung, Finanz Colloquium Heidelberg