Risikomanagement und IT-Regulatorik: Unsere Teilnahme an der Fachtagung im bayerischen Freising

Seit nunmehr 5 Jahren trifft sich eine Gruppe vorwiegend eigenständiger, mittelständischer deutscher Banken im oberbayerischen Freising für einen mehrtägigen Austausch rund um die Themen Gesamtbanksteuerung und Risikocontrolling, Revision und Compliance. Wissenschaftlich begleitet wird die halbjährlich stattfindende Tagung von Professor Stefan Zeranski, der ein enzyklopädisches Wissen über aktuelle regulatorische Anforderungen mit dem Sinn für’s Wesentliche kombiniert.
Für die Präsentation unserer Studienergebnisse unter Anwendung der Software cysmo aus dem Hause PPI (wir berichteten) durften wir als einzige Nicht-Bank am vertrauten Seminar teilnehmen.

Welche Anforderungen, aber auch Chancen werden von den Teilnehmern in diesen Bereichen gesehen? Unter den zahlreichen Regularien und Vorschriften, die über Bafin, EBA, EZB und andere Aufsichten gestellt werden – es handelt sich um viele hundert Seiten pro Jahr – sticht das Thema IT-Regulatorik heraus. Im Speziellen erschienen als Konkretisierung der deutschen MaRisk bzw. als Reaktion auf die EBA ICT Guidelines im vergangenen Jahr die BAIT (Bankaufsichtliche Anforderungen an die IT). Dieser kurze Text, von der Bafin als blosse Konkretisierung betrachtet und daher ohne Übergangsfrist umzusetzen, führte zu intensiven Gesprächen unter den Teilnehmenden. Einige Institute konnten schon über Erfahrungen bei der IT-Tiefenprüfung berichten, die in teils signifikanten Risiko-Aufschlägen resultierten.

Aber worum geht es in den BAIT? Der Text befasst sich detailliert mit Berechtigungsmanagement und IT-Betrieb, Informationsrisikomanagement und Auslagerungen. Eine Dokumentenflut trifft die Institute, da gezielte IT-Sicherheitsstrategien und Governance-Regeln im Einklang mit der Geschäftsstrategie zu formulieren sind. Das klingt alles reichlich formal, jedoch verdeutlicht die Intensität und Rigorosität der aufsichtlichen Prüfungen, wie ernst das Thema IT-Sicherheit genommen wird. Dabei gilt, wie eine Teilnehmerin anmerkte: „Man kann sich vorbereiten wie man will, man wird trotzdem kalt erwischt”. Oder überwacht und updated Ihr Haus regelmässig die ausgelagerten IT-Dienstleistungen und berücksichtigt diese Auslagerungsfälle im Risiko-Management? Haben Sie alle IDVs sauber dokumentiert, versioniert und Verantwortliche benannt?

Ähnliche Anforderungen gelten über die Corporate Governance- und OpRisk-Neufassungen auch immer mehr in der Schweiz. In der diesjährigen Jahresmedienkonferenz stellte Finma-Direktor Branson fest, dass Cyber-Risiken das grösste OpRisk für Banken sind. Seine deutschen Kollegen pflichten bei, dass „IT-Governance und Informationssicherheit für die Aufsicht inzwischen den gleichen Stellenwert haben wie die Ausstattung der Institute mit Kapital und Liquidität (Bafin: BAIT: BaFin veröffentlicht Anforderungen an die IT von Banken). Man ergänze gedanklich: «... und wird daher ebenso streng kontrolliert wie diese.» Gleichzeitig gelten in einer real-time economy auch immer strengere Vorschriften für Datenaggregation, -Qualität und Reporting. Es ist also anzunehmen, dass IT-Themen im Fokus der Aufsicht bleiben, selbst wenn der Zenit der regulatorischen Kreativität langsam erreicht scheint.

Das zumindest war der Konsens der anwesenden KMU-Banken. Einerseits sind deren IT-Systeme weniger fragmentiert als bei vielen grossen, andererseits fällt es besonders ihnen schwer, entsprechendes Know-How zu gewinnen. Insofern könnte die IT-Regulatorik auch als Katalysator für die Konsolidierung im Finanzsektor wirken oder zumindest als Anreiz, Kooperationen konkreter ins Auge zu fassen. Dies zeigte auch unsere Analyse mit cysmo®: Kleine Genossenschaftsbanken und Sparkassen sind bedeutend besser gegen Cyber-Angriffe geschützt als gleich grosse, aber eigenständige Banken. Immer zentraler wird es auch bei den ohnehin anstehenden Modernisierungen der IT-Landschaften, Mehrwerte zu generieren. Schliesslich teilen sich die deutschen Banken bei der Eigenkapitalrendite mit Griechenland, Portugal und Zypern die letzten Plätze in der Währungsunion!

Es bleibt also spannend für die vielen mittelgrossen Banken in Deutschland, aber auch für die Konkurrenz in der Schweiz. Sehr hilfreich ist es vor diesem Hintergrund, in geschütztem Umfeld Klartext reden zu können. Wie spannend das ist konnten wir in Freising bestaunen.

Dieser Beitrag wurde von Sebastian Strub verfasst.

#Regulation #PPIonTour #cysmo

0 Kommentare:

Kommentar posten