Unsere Entdeckungstour durch regulatorische Anforderungen in der Bankenlandschaft möchten wir im neuen Jahr mit Ihnen gemeinsam fortführen.

Wie bereits im Blog-Artikel Sonderprüfungen gem. § 44 Abs. 1 KWG angekündigt, betrachten wir in diesem Artikel unserer Regulatory Roadmap die BAIT - Bankaufsichtliche Anforderungen an die IT.

Regulatory Roadmap BAITDie zunehmende Automatisierung der Geschäftsprozesse im Bankwesen geht mit dem digitalen Wandel einher. Informationstechnik wird durch die Digitalisierung und die damit verbundene Digitalisierung der Geschäftsprozesse immer wichtiger, sodass auch IT-Governance und Informationssicherheit bei der ganzheitlichen Betrachtung aller Geschäftsprozesse immer relevanter werden.

Im März 2017 kündigte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) den kurzfristigen Beginn der Konsultation zu den "Bankaufsichtlichen Anforderungen an die IT" (BAIT) für Ende März 2017 an. Die öffentliche Konsultation ermöglichte eine praxisorientierte Ausgestaltung, die im Dialog mit den Marktteilnehmern kooperativ weiterentwickelt und als Rundschreiben Anfang November 2017 publiziert wurde.

Die BAIT präzisiert § 25a Absatz 1 Satz 3 Nr. 4 und 5 KWG und § 25b KWG. In § 25a Absatz 1 Satz 3 Nr. 4 und 5 KWG geht es um besondere organisatorische Pflichten in Bezug auf "eine angemessene personelle und technischorganisatorische Ausstattung des Instituts" und "die Festlegung eines angemessenen Notfallkonzepts, insbesondere für IT-Systeme" (Quelle: KWG). In § 25b wird zudem die Auslagerung von Aktivitäten und Prozessen präzisiert. Zudem werden in der BAIT die IT-relevanten Inhalte der MaRisk konkretisiert.

Darauf basierend können drei Ziele hervorgehoben werden: Die Definitionen einer flexiblen und praxisorientierten Anforderungsbasis für die Banken-IT, die Intensivierung des IT-Risikobewusstseins und eine transparentere Darlegung der IT-Anforderungen. So wird die Transparenz unter anderem durch den kongruenten Aufbau von BAIT und MaRisk und die direkten Verweise der BAIT auf die MaRisk bestätigt.

Die BAIT ist modular gestaltet. Die standardisierte Darstellung in Modulen ermöglicht es, zukünftige Änderungen flexibel darstellen zu können. Die BAIT ist dabei in acht Themenfelder über die drei Ebenen Governance, Steuerung und Operativ gegliedert, wie in der folgenden Abbildung dargestellt:

  • IT-Strategie
  • IT-Governance
  • Informationsrisikomanagement
  • Informationssicherheitsmanagement
  • Benutzerberechtigungsmanagement
  • IT-Projekte und Anwendungsentwicklung
  • IT-Betrieb (inkl. Datensicherung) und
  • Auslagerung und sonstiger Fremdbezug von IT-Dienstleistungen.

 

Schärfung des IT-Risikobewusstseins durch die BAIT
(Quelle: BaFinJournal Januar 2018, S. 19)

Hierbei verdeutlicht die Abbildung den Fokus auf das IT-Risikobewusstsein in allen acht Themenfeldern und dass die acht Themenfelder partiell ebenenübergreifend signifikant sind und dass Themenfelder interferieren können. 

Die Anforderungen sind mit Publikation der BAIT wirksam. Dies ist damit begründet, dass bereits bekannte Anforderungen aus dem KWG und aus der MaRisk präzisierter und konkretisierter dargelegt sind.

Unsere Empfehlung: Optimieren Sie Prozesseffektivität und Prozesseffizienz durch die ganzheitliche Analyse Ihrer bereits bestehenden Geschäftsprozesse


Die BAIT wurde als Rundschreiben Anfang November 2017 publiziert. Die Präzisierung und Konkretisierung bereits vorhandener Anforderungen fördert eine transparente Kommunikationsbasis zwischen Regulatorik und Marktteilnehmern. Für die Marktteilnehmer ist damit die Chance verbunden, vorhandene Geschäftsprozesse auf Prozesseffektivität und Prozesseffizienz zu überprüfen und in Anlehnung an die neue Informationsbasis zu optimieren.

Im gemeinsamen Dialog möchten wir mit Ihnen gemeinsam die BAIT ganzheitlich betrachten und mit Ihnen gemeinsam die neuen Erkenntnisse aus der BAIT herausarbeiten. Unsere Analyseergebnisse stellen die Basis dar, um Ihre Geschäftsprozesse zu überprüfen und diese im Hinblick auf die regulatorischen Anforderungen effektiver und effizienter zu gestalten.

Wir unterstützen Sie gern bei der Optimierung Ihrer Geschäftsprozesse von der fachlichen Analyse bis zum technischen Prozessdesign.

Athanasia Tsaman
Autor: Athanasia Tsaman
Athanasia Tsaman ist als Business Analystin bei der BBHT Beratungsgesellschaft tätig. Ihre umfangreichen Erfahrungen in der Finanzwirtschaft und besonders im Thema Blockchain bringt sie seit 2017 in die Projekte unserer Kunden ein.

Aktuelle Blogreihe - Regulatory Roadmap

Regulatory Roadmap

Mit Ihnen möchten wir Licht in die aktuellen regulatorischen Anforderungen bringen.
Es erwarten Sie spannende Artikel:

Hinweis bei neuen Blogartikeln?

Bitte geben Sie Ihren Namen und Ihre Mailadresse an, damit wir Sie bei neuen Blogartikeln informieren können.