EDITORIAL
Liebe Leserinnen und Leser,
die nachrichtenarme Zeit in den Monaten Juli und August wird traditionell als „Sommerloch“ bezeichnet. Auch wenn wir uns nach den turbulenten letzten Monaten sicher wieder eine solche Phase des Verschnaufens wünschen, wird das Sommerloch im Jahr 2022 sicher anders aussehen. Die Kriegsereignisse lassen sich nämlich nicht einfach ausblenden. Und siehe da, schon macht sich hinsichtlich der Corona-Pandemie der Begriff der „Sommerwelle“ breit.
Doch was passiert an der Front der Bankenaufsicht und mit welchen Herausforderungen haben wir uns in der Banksteuerung zu beschäftigen? Neben den MaRisk, deren Konsolidierung bereits in den Startlöchern steht, wird insbesondere die Zinswende zu deutlichem Anpassungsbedarf in der Gesamtbanksteuerung führen.
Nach der Sommerpause stehen Sie wieder vor der Aufgabe der Überprüfung und Anpassung der Geschäfts- und Risikostrategie(n) Ihres Instituts. Die Besonderheit in diesem Jahr wird dabei die Notwendigkeit einer umfassenden Umfeldanalyse sein. Ich empfehle Ihnen, in diesem Zusammenhang auch eine eingehende Analyse des Geschäftsmodells vorzunehmen – auch wenn das erst mit der kommenden MaRisk-Novelle zwingend gefordert wird. Ein „weiter so“ oder „da hat sich nicht viel geändert“ wird in diesem Jahr sicher nicht die Anforderungen der Aufsicht an eine ordnungsgemäße Geschäftsorganisation erfüllen, da sich die Rahmenbedingungen für die strategische Ausrichtung der Institute in den meisten Fällen deutlich geändert haben.
Auch die IT-Sicherheit sollten Sie vor dem Hintergrund des erhöhten Risikos von Cyberangriffen nicht aus dem Auge verlieren. Hacker und andere destruktive Kräfte werden hier sicher keine Sommerpause einlegen!
In diesem Zusammenhang möchte ich Sie auf einen Sachverhalt hinweisen, der von vielen Instituten aktuell unterschätzt wird: Die Nutzung von internetbasierten Cloud-Diensten (Software-as-a-Service) durch die Fachabteilungen des Instituts. Hier kann sich durch die übliche (und zulässige) liberale Internetnutzungsmöglichkeit ohne lückenlose Kontrollmöglichkeit eine sogenannte „Schatten-IT“ bilden, wenn Mitarbeiter in eigener Verantwortung Cloud-Tools für die Bearbeitung ihrer Aufgaben nutzen. Neben dem Aspekt des Datenschutzes sind solche Anwendungen, insbesondere wenn Sie für Zwecke der Banksteuerung und des Risikomanagements genutzt werden, als Auslagerung einzustufen und unterliegen damit besonderen regulatorischen Anforderungen. Schatten-IT wird in der Regel auch nicht von den Maßnahmen der Informationssicherheit, die sich nach dem Schutzbedarf der Prozesse ausrichten, erfasst. Diese offene Flanke, die im Rahmen von 44er-Prüfungen häufig zu Feststellungen führt, kann nur durch eine gemeinsame Anstrengung aller Linien der Internen Governance (Fachbereich/IT-Organisation, Informationssicherheit, Interne Revision) gesteuert, überwacht und damit vermieden werden.
Ich wünsche Ihnen nun viele gute Anregungen für Ihre Bankpraxis beim Lesen des aktuellen BankPraktiker.
Herzliche Grüße
Jan Meyer im Hagen
Geschäftsführer Finanz Colloquium Heidelberg GmbH
Chefredakteur BankPraktiker