Die BaFin hat am 23.02.2017 ihre bisher separaten „Themenentwürfe“ zu den Anforderungen an die IT gebündelt, vervollständigt und in den Bankaufsichtlichen Anforderungen an die IT – BAIT – am 22.03. zur Konsultation gestellt. Die deutsche Aufsicht nimmt darin viele bekannte Elemente aus den mittlerweile (am 11.05.) verabschiedeten EBA-Leitlinien „Guidelines on ICT Risk Assessment under the SREP“ (EBA/GL/2017/05) in die deutsche Prüfungspraxis auf, die wir in unserem Beitrag im April vorgestellt hatten.
Folgende Abbildung zeigt die wichtigsten Anforderungen der BAIT sowie deren Auswirkungen auf die Institute:
Legende zu den Auswirkungen:
Die beiden Regelwerke – EBA Leitlinien zu ICT Risk und BAIT – beinhalten in wesentlichen Aspekten übereinstimmende Themenstellungen. Insbesondere zu nennen sind:
- IT Strategie
- IT Governance
- Informationsrisikomanagement
Die BaFin konzentriert sich in den BAIT – die Anforderungen der MaRisk konkretisieren – auf eine an Proportionalitätsgesichtspunkten orientierte Beschreibung der Regelungssachverhalte. Die EBA geht mit den Leitlinien zu ICT Risk einen Schritt weiter und beschreibt zudem ausführlich das Prüfungsvorgehen und gibt einen Anhaltspunkt über mögliche Beurteilungsmaßstäbe.
Generell lässt sich feststellen, dass die Anforderungen der BAIT weniger detailliert und deutlich prinzipienorientierter als die Anforderungen der EBA sind.
Aufgrund verschiedener Anforderungen beider Regelwerke, so z. B. die Verwaltung aller relevanten IT-Systeme z. B. hinsichtlich Inventarisierung, Lifecycle oder Change Management und deren Zusammenwirken (IT-Zielbild) erwarten wir einen deutlichen Anpassungsbedarf in der IT. Ein besonderer und bemerkenswerter Punkt ist hierbei, dass die BaFin die Steuerung und damit die Risiken von veralteten IT-Systemen aufführt.
fazit
Nachdem die EBA mit ihrem in den Leitlinien formulierten Prüfungsansatz deutlich über die nationalen Anforderungen der MaRisk – auch in der konsultierten Fassung der Novelle – hinausging, hat die BaFin mit den BAIT diese Lücke in den Anforderungen an die IT geschlossen. Die Anforderungen der EBA sind jedoch detaillierter hinsichtlich Umfang und Regelungstiefe, während die BAIT in der Tradition bisheriger MaRisk Rundschreiben sehr prinzipienorientiert aufgebaut sind.
Aktuelle Erfahrungen aus IT-Prüfungen zeigen jedoch, dass entgegen der eher weich formulierten Maßnahmen der MaRisk sowie der BAIT die Aufsicht dem höheren Anspruch der Prüfungsrichtlinien der SREP folgt. Als Empfehlung für alle Institute muss festgehalten werden, dass sich ein intensives Befassen mit den SREP Anforderungen zu ICT-Risiken lohnt, um dann proportionale und angemessene Maßnahmen für das eigene Institut abzuleiten.