Automatisierung und Digitalisierung haben das Bankgeschäft schon in den letzten Jahren deutlich verändert. Online-Banking, Mobile-Banking, e-payment und Cloud-Computing gehören heute zum Tagesgeschäft.
Es ist mittlerweile keine Geschäftsprozess mehr denkbar, der ohne dv-unterstützung funktioniert. Das bedeutet aber im Umkehrschluss auch, dass jede Prozessprüfung auch eine Prüfung der diesbezüglichen IT darstellt. In diesem Zusammenhang sind zentrale Aspekte der Informationssicherheit, wie das Benutzerberechtigungsmanagement und die Schutzbedarfsfeststellung, direkt im Rahmen einer Prozessprüfung zu beurteilen.
Diese Veränderung hat die Anforderungen an die IT deutlich erhöht – sowohl, was die Hard- und Software betrifft, als auch Prozesse, Arbeitsabläufe und das Know-how der betroffenen Mitarbeiter in allen Bankbereichen. Insbesondere kleinere und mittlere Institute haben Probleme, entsprechende Ressourcen aufzubauen bzw. auszubauen. Der Kostendruck ist enorm, um den von den Kunden und der Aufsicht gewünschten Standard zu erreichen. Neue und deutlich umfangreichere Anforderungen der Aufsicht (u. a. MaRisk, BAIT, BCBS 239) sowie rechtliche Grundlagen (z. B. BDSG, BSI Grundschutz, ISO 27001, COBIT, COSO oder ITIL) stellen die Institute vor große (Umsetzungs-)Herausforderungen.
Hiervon ist auch die Interne Revision maßgeblich betroffen. Einerseits zwingt der zunehmende Kostendruck in den Instituten auch den Bereich der Internen Revision, Mitarbeiterkapazitäten abzubauen. Andererseits nimmt das Aufgabenspektrum stetig zu. Spezielle IT-Revisoren sind zum Teil nicht vorhanden, teuer im Einkauf oder schlicht am Markt nicht verfügbar. Hierdurch werden die Prüfungen der IT-Bestandteile in den Fachbereichen oder auf Prozessebene zunehmend schwieriger bei gleichzeitig abnehmender Prüfungssicherheit, was das Risiko des Nichtentdeckens von (wesent¬lichen) Risiken begünstigt und zu Fehleinschätzungen führt. Gleichzeitig ist das prozessuale IT-Verständnis der Fachprüfer weiter auszubauen, um diesen Anforderungen gerecht zu werden.
Viele zentrale Themen der Informationssicherheit und des Notfallmanagements sowie des operativen IT-Betriebs sind Gegenstand der Neuregelungen der BAIT im Jahr 2021.
Viele Bereiche – zum Beispiel das Meldewesen – sind aufgrund ihrer Komplexität nur noch schwer zu überwachen und zu prüfen. Hier aber hat die Aufsicht ihren Schwerpunkt gesetzt, was die Risikobeurteilung der Institute betrifft. Aufgrund des LSI-SREP-Konzepts für weniger bedeutende Institute erfolgt die Beaufsichtigung der kleinen und mittleren Institute überwiegend im Rahmen der Analyse der gemeldeten Risikodaten und deren Abweichung zu vergleichbaren Instituten (peer group review). Auffälligkeiten und identifizierte Schwachstellen können mit pauschalen Kapitalaufschlägen geahndet werden sowie zu Sonderprüfungen beispielsweise der Bereiche IT, Meldewesen und Interne Revision führen. Die Prüfungen in diesem Bereich müssen mit Datenanalysen unterlegt werden, damit Sie wirtschaftlich und effektiv durchgeführt werden können.
Die Datenqualität spielt somit eine entscheidende Rolle. Nur wenn intern einheitliche Vorgaben und hohe Qualitätsmaßstäbe gesetzt werden, können die (Risiko-)Daten vollständig und richtig gemeldet werden. Das gleiche gilt für Zeitnähe und Qualität der Risikoberichterstattung an den Vorstand und die Entscheidungsträger. Über die Vorgaben zum Reporting in den neuen MaRisk werden die hohen Anforderungen des BCBS 239 in Sachen Datenverfügbarkeit und -qualität nun auch für die kleinen und mittleren Institute Gültigkeit erlangen und damit umzusetzen sein.
Ich freue mich, Sie auf unseren Seminaren und Tagungen – online oder in Präsenz – zu diesem Thema persönlich begrüßen zu dürfen und stehe Ihnen im Vorfeld gerne für Fragen und Anregungen zur Verfügung.
Freundliche Grüße
Jan Meyer im Hagen
Geschäftsführer
Finanz Colloquium Heidelberg GmbH