Was die Bankaufsichtlichen Anforderungen an die IT (BAIT) für Unternehmen bedeuten
Warum war die Einführung der BAIT notwendig?
Technologiegestützte Innovationen im Finanzdienstleistungsbereich, sogenannte FinTechs, haben sich in den letzten Jahren rapide entwickelt. Die Entwicklungen entfernen sich deutlich von der Art und Weise wie klassische Banken Finanzdienstleistungen erbracht und angeboten haben. Aus Sicht der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sind Harmonisierung und Konvergenz der aufsichtlichen Anforderungen von wesentlicher Bedeutung, sowohl auf nationaler als auch auf europäischer Ebene. Im Jahr 2015 wurden deshalb die Mindestanforderungen an das Risikomanagement (MaRisk), veröffentlicht, die den Grundstein für die Ausgestaltung des Risikomanagements in deutschen Kreditinstituten definieren. Die MaRisk beschreiben u.a. die Anforderungen an die technisch-organisatorische Ausstattung von Kreditinstituten und deren Umgang mit IT-Systemen und IT-Prozessen. Im Jahr 2017 wurden ergänzend die Bankenaufsichtlichen Anforderungen an die IT (BAIT) veröffentlicht, die die konkrete Umsetzung darstellen.
Welche Anforderungen stellen die BAIT konkret?
Während die BAIT einerseits einen Rahmen für das Management der Informationssicherheit von Kreditinstituten bilden, sollen sie gleichzeitig dazu beitragen, das unternehmensweite Bewusstsein für das IT-Umfeld zu schärfen. Durch die konkreten Anforderungen dieser Verwaltungsanweisung wird auch die Erwartungshaltung der Finanzaufsicht hinsichtlich angemessener Informationssicherheit transparenter. Um eine ordnungsgemäße Geschäftsorganisation zu gewährleisten, stellt die Verwaltungsanweisung organisatorische Anforderungen, u.a. an die IT-Strategie oder das Informationssicherheitsmanagement sowie das Management der Beziehungen mit Zahlungsdienstleistern. So erfordert der Bereich der operativen Informationssicherheit, dass es eine ständig besetzte zentrale Stelle, z.B. in Form eines Security Operation Centers (SOC) gibt, um die zeitnahe Analyse und Reaktion von sicherheitsrelevanten Ereignissen zu gewährleisten. Andererseits sind auch technische Anforderungen berücksichtigt, wie Anforderungen an den IT-Betrieb, das IT-Notfallmanagement oder das Benutzerberechtigungsmanagement.
Was heißt das für die Unternehmenspraxis?
Unternehmen im Finanzsektor sehen sich besonderen Regulierungsvorgaben gegenüber, gerade Unternehmen, die eine Banklizenz besitzen oder anstreben. Die BAIT konkretisieren die Prüfungshandlungen und Unternehmen sind in der Lage, sich damit spezifische Umsetzungshinweise für die Praxis abzuleiten. Unzureichend erfüllte Anforderungen haben gerade im Finanzsektor weitreichende Folgen. So können IT-Fehler zu massiven Störungen im Zahlungsverkehr führen, die bei zu langer Dauer zum Bankrott des Kreditinstitutes führen können. Zudem ist die BaFin zu unangekündigten Prüfungen hinsichtlich der Einhaltung der BAIT legitimiert.
Wie können wir Sie unterstützen?
Die fachliche Spezialisierung ist von der eigenen Internen Revision selten leistbar, da finanzwirtschaftliches Fachwissen allein nicht ausreicht.
Die IT-Spezialisten der dhpg bieten Ihnen Prüfungen nach BAIT an. Mit bankenspezifischem IT-Wissen sowie langjähriger Prüferfahrung können wir Sie dabei unterstützen, die Anforderungen prinzipienorientiert umzusetzen.
Mit der Prüfung nach BAIT erlangen Unternehmen Sicherheit über die umgesetzten Anforderungen. Die aus der Prüfung gewonnenen Erkenntnisse können für die Optimierung der IT und damit auch zur Erreichung der Unternehmensziele verwendet werden. Darüber hinaus bietet sich die Möglichkeit, die Ergebnisse einer solchen Prüfung und die damit erlangte Sicherheit gegenüber Dritten oder unternehmensintern darzulegen.