Mit dem Rundschreiben 10/2017 veröffentlichte die BaFin am 06.11.2017. die bankaufsichtlichen Anforderungen an die IT (BAIT). Der hier formulierte Rahmen für die Ausgestaltung der IT und das IT-Risikomanagement stellt nach Auffassung des BaFin lediglich eine Konkretisierung der Anforderungen der MaRisk dar und tritt somit mit Veröffentlichung in Kraft. Dennoch entsteht bei vielen Kreditinstituten, insbesondere beim so genannten sonstigen Fremdbezug für IT-Dienstleistungen, Handlungsbedarf.

Die Konkretisierung der MaRisk durch ein BaFin-Rundschreiben zu „Bankaufsichtlichen Anforderungen an die IT (BAIT)“ ist aus Sicht der BaFin erforderlich, um die Erwartungshaltung der Aufsicht an die Institute transparenter zu machen. Weiterhin sollen die BAIT dazu beitragen, das unternehmensweite IT-Risikobewusstsein im Institut und gegenüber den Auslagerungsunternehmen zu erhöhen. Dabei sind auch die BAIT prinzipienorientiert ausgestaltet, damit das Proportionalitätsprinzip gewahrt bleiben kann.

Die BaFin verfolgt das Grundprinzip, dass das Rundschreiben die Ausführungen des KWG (§25a Abs, 1 KWG & § 25b KWG) präzisiert und auf Textziffern der (neu erschienenen) MaRisk verweist. Dabei bleiben die Grundanforderungen der MaRisk – insbesondere die Verpflichtung, gängige Standards (AT 7.2, Tz 2 MaRisk) zu beachten – erhalten.

Die BAIT haben das Ziel, einen flexiblen und praxisnahen Rahmen für

die Ausgestaltung der IT der Kreditinstitute, insbesondere für das Management der IT-Ressourcen und für das IT-Risikomanagement vorzugeben.

Die BAIT umfassen folgende Themenbereiche:

• IT-Strategie
• IT-Governance
• Informationsrisikomanagement
• Informationssicherheitsmanagement
• Benutzerberechtigungsmanagement
• IT-Projekte und Anwendungsentwicklung
• IT-Betrieb (inkl. Datensicherung)
• Auslagerung und sonstiger Fremdbezug von IT-Dienstleistungen

Oberflächlich betrachtet sind die genannten Themenpunkte in den Instituten bereits etabliert. Jedoch sind bei detaillierter Betrachtung durchaus einige Anforderungen in dieser Ausdrücklichkeit als neu anzusehen.

Insbesondere beim sog. sonstigen Fremdbezug von IT-Dienstleistungen bedarf es einer genauen Betrachtung: Verträge, die den sonstigen Fremdbezug von IT-Dienstleistungen betreffen, sind nun strategisch, analog den IT-Auslagerungsverträgen zu steuern. Für jeden sonstigen Fremdbezug von IT-Dienstleistungen ist eine Risikobewertung durchzuführen.

Für den sonstigen Fremdbezug von IT-Dienstleistungen soll eine Vertragsevidenz im Einklang mit den Vorgaben der IT-Strategie des Instituts vorgehalten werden. Die Risikobewertungen in Bezug auf den sonstigen Fremdbezug von IT-Dienstleistungen sind regelmäßig und anlassbezogen zu überprüfen und ggf. inkl. der Vertragsinhalte anzupassen

Folgt man konsequent diesen Anforderungen und betrachtet gleichzeitig die Erläuterungen zu den, wenige Tage zuvor veröffentlichten MaRisk (MaRisk Anlage 2, AT 9, Tz 2 vom 27.10.2017), so muss man zu dem Schluss kommen, dass Softwarehersteller und Unternehmen die bei der Implementierung/ Weiterentwicklung von Software mit Fokussierung auf bspw. Risikomanagement und/ oder Meldewesen als Auslagerungsunternehmen gelten.

Daraus folgt, dass die Institute die Steuerung der Hersteller/ Dienstleister über ein (zentrales) Auslagerungsmanagement sicherstellen und nachweisen müssen.

Im gängigen Fall, dass ein Institut IT-Dienstleistungen über einen zentralen IT-Dienstleister (im Verbund) als Vermittler von Software bzw. Dienstleistungen bezieht, sind diese Dienstleistungen konsequenterweise als Weiterverlagerung zu betrachten. Gleichzeitig fordern die aktuellen MaRisk (AT 9. Tz 8) „möglichst viele Zustimmungsvorbehalte […] oder konkrete Voraussetzungen, wann Weiterverlagerungen einzelner Arbeits-und Prozessschritte möglich sind, im Auslagerungsvertrag zu vereinbaren.“

Diese Anforderungen, folgt man dem geschriebenen Wort, werden in der Praxis schwer umsetzbar sein bzw. erscheinen zudem unter Risikogesichtspunkten als überzogen. Es ist somit bereits an diesem Auszug aus den BAIT erkennbar, dass es in der Praxis zu den Anforderungen einen umfangreichen Erörterungs- und Auslegungsbedarf geben wird. Dieser wird sowohl innerhalb der Institute stattfinden, als auch in kommendem Prüfungssituationen im Dialog mit der Aufsicht.

Aufgrund der Tatsache, dass die die Regelungen der BAIT ab sofort gelten, sollten die Institute den eigenen gegenwärtigen Erfüllungsgrad der in den BAIT formulierten Anforderungen kritisch prüfen und notwendige Handlungsbedarfe identifizieren.

Es herrscht Zeit-, Wettbewerbs- und Innovationsdruck bei den Digitalisierungsbemühungen der Kreditinstitute. In immer kürzeren Innovationszyklen sollen neue digitale Angebote Mehrwerte für Kunden und Erlöse für die Institute schaffen. Ein Großteil der historisch gewachsenen, heterogenen IT-Anwendungs­landschaften bleibt jedoch zunächst bestehen. Diese zeichnen sich meist durch hohe Komplexität in Hard- und Software-Komponenten aus. Technische Zusammenhänge und fachliche Funktionen der Komponenten sind oft nicht ausreichend dokumentiert. Lückenhafte Verfahrens­dokumentationen werden seitens der BaFin als erhebliches operatives Risiko bezeichnet. Besonders relevant wird dies, wenn geschäftskritische Prozesse oder sensible Bereiche betroffen oder in die Hände von Dienstleistern gegeben worden sind.

Die BaFin betont in ihrem, am 22.3.2017 veröffentlichten Konsultationspapier zu den “Bankaufsichtlichen Anforderungen an die IT“ (BAIT) u.a. die Notwendigkeit der Erstellung von Verfahrensdokumentationen für alle IT-Systeme.

Im Unterschied zu den Anforderungen an angemessene (IT-)Verfahrensdokumentationen aus dem Trennbankengesetz (2013) gelten die BAIT nicht ausschließlich für systemrelevanten Institute, sondern dehnen den Geltungsbereich auf alle Kreditinstitute, unabhängig von ihrer Größe aus. Die BAIT präzisieren § 25a Abs. 1 und § 25b KWG und sind somit Detaillierungen bereits bekannter Vorhaben bspw. zum Auslagerungsmanagement.

Gleichzeitig werden ausdrücklich alle IT-Systeme mit einbezogen. Die Anfang 2015 formulierten Anforderungen der GoBD hinsichtlich einer Verfahrensdokumentationen bezogen sich auf die „Aufbewahrung von Unterlagen zu Geschäftsvorfällen und von solchen Unterlagen, die zum Verständnis und zur Überprüfung der für die Besteuerung gesetzlich vorgeschriebenen Aufzeichnungen von Bedeutung sind“ (GoBD, Tz 5). Dies beinhaltet üblicherweise Buchführungssysteme und Archivsysteme zur Ablage von Belegen und Verträgen. Eine solche Einschränkung ist den BAIT in der derzeitigen Konsultationsphase nicht zu entnehmen.

Sowohl die BAIT als auch die GoBD betonen die Einbeziehung ausgelagerter Prozess- und Verfahrensteile in die Dokumentation. Für jedes IT-System muss somit eine übersichtlich gegliederte Verfahrens­dokumentation existieren. Inhalt, Aufbau, Ablauf und Ergebnisse jeglicher IT-Verfahren müssen für einen sachverständigen Dritten jederzeit lückenlos nachvollziehbar sein. Dies gilt über den gesamten organisatorischen und technischen Prozess – von der Ent­stehung, über die Indizierung und Speicherung bis hin zur Absicherung vor Verlust und Fälschung sowie der Reproduktion von Informationen.

Durch die explizite Aufnahme der Verfahrensdokumentation in die BAIT ist davon auszugehen, dass bei künftigen IT-Prüfungen, sowohl für Neuentwicklungen als auch den „historisch gewachsenen“ Bestand, Abdeckungs- und Vollständigkeitsgrad der Verfahrensdokumentation genauer geprüft werden. Bei der Erfüllung der Anforderung an Verfahrensdokumentationen haben Kreditinstitute und andere Finanzdienstleister teilweise noch erheblichen Nachholbedarf. Hier drohen den Instituten Nachforderungen der Prüfer.

Neben regulatorischen Aspekten ist jedoch auch die Wettbewerbskraft und Agilität der Banken im Digitalisierungsprozess von lückenhaften Verfahrensdokumentationen betroffen. Beim Einsatz neuer IT-Systeme muss oftmals auf dieser lückenhaften Verfahrens­dokumentation aufgebaut werden.

Unklare, komplexe technische und fachliche Abhängigkeiten bedingen einen enormen zeitlichen Mehraufwand für die Institute zur (Wieder-)Herstellung der geforderten und notwendigen Transparenz. Neben den Mehrkosten für Projekte müssen die Institute auch den Verlust an Wettbewerbskraft durch ungeplant verzögerte time to market im Blick behalten. M&A-Anbahnungen und Umsetzungen zwischen Kreditinstituten sowie der Aufbau oder Wechsel von Auslagerungsbeziehungen müssen in Kenntnis der neuen Anforderungen erneut den vielbesprochenen Mehrwert in der Pflicht für das jeweilige Vorhaben suchen und erlebbar machen.

Der Abschluss der Konsultationsphase ist mit Veröffentlichung der BAIT als Rundschreiben derzeit für die zweite Jahreshälfte 2017 angekündigt.