Wenn Sie selbst in der Finanzbranche tätig sind, sind Ihnen die dort geltenden Regularien sicherlich gut bekannt. So wurden zum Beispiel mit Basel III die Eigenkapital-Regelungen für Finanzinstitute verankert. Seit 2019 genießen nun ebenfalls die Ausgestaltung der IT-Systeme und die dazugehörigen Prozesse mindestens genauso viel Aufmerksamkeit. Bedingt ist dies durch die Veröffentlichung der „Bankenaufsichtlichen Anforderungen an die IT“ (BAIT).
Verstärkt wird das Ganze durch die BAIT-Novelle von 2021 und das Finanzintegritätsstärkungsgesetz (FISG), über welches sich die BaFin sogar direkte Prüfungsrechte für IT-Dienstleister eingeräumt hat. Zudem wird durch das FISG die Anzeigepflicht für wesentliche Auslagerungen für Banken eingeführt.
Diese Markt-Entwicklungen fordern einen stärkeren Abgleich zwischen Finanzinstituten und IT-Service-Partnern und ein gemeinsames Verständnis der nicht immer konkret formulierten Anforderungen. Denn nur so kann in Zeiten des Fachkräftemangels und der exponentiellen Digitalisierungskurve möglichst effizient, effektiv und fortlaufend die Compliance zur Regulatorik hergestellt werden. Das Ziel der Finanzinstitute ist es dabei, ihre operativen Produktivitätsteigerungen in der Profitabilität auszuweisen und möglichst steigende Compliance- und Audit-Aufwände zu vermeiden.
Raum zum Austausch
Mit dem Fujitsu Compliance Circle (FCC) bieten wir unseren Kund*innen aus der Finanzbranche einen Raum für einen solchen Austausch, um regulatorischen Anforderungen an die IT zu begegnen – egal ob es sich um Banken, Versicherungen, Kapitalanlagegesellschaften oder Zahlungsdienstleister handelt. Durch die Diskussion von Lösungsansätzen und den Gewinn von neuen Erkenntnissen können die Teilnehmer*innen nach der Veranstaltung den für sie besten Ansatz wählen, um der Regulatorik zu entsprechen. Auch das Kennenlernen von Best Practices und die Bildung und Nutzung eines Netzwerkes aus IT-Compliance-Expert*innen spielt eine wichtige Rolle. Mögliche Themen sind zum Beispiel die Umsetzung der Regulatorik, die Nutzung der Public Cloud mit ihren Risiken und Möglichkeiten, die Umsetzung von BAIT, VAIT und ZAIT in der Praxis oder auch der Austausch über Erfahrungen aus Prüfungen der BaFin / EZB.
Beim ersten Fujitsu Compliance Circle am 27. September in Frankfurt am Main stand das Thema Auslagerungsmanagement im Mittelpunkt. In den Räumlichkeiten des BANKINGCLUB GmbH in Frankfurt am Main haben wir zusammen mit unseren geladenen Gästen, unserem Moderator Thorsten Hahn und unseren internen Spezialist*innen einige wichtige Fragestellungen diskutiert:
- Was muss im Auslagerungsmanagement erreicht werden?
- Was sind die relevanten Aspekte im Partnermanagement?
- Was sind die Themen der Auslagerungsüberwachung / -steuerung?
Das Auslagerungsmanagement und seine Herausforderungen
Der vielfältige Dialog während der Veranstaltung beinhaltete dabei unter anderem die Möglichkeiten des Cloud-Einsatzes – und ob dieser überhaupt erwünscht ist – sowie die Sensibilisierung der Institutsmitarbeiter*innen bezüglich der Datennutzung. Sehr interessant war auch die Erkenntnis, dass durch die Einführung von Schutzklassen / Klassifizierungen in einigen Instituten nur eine abgespeckte Nutzung von Features der Cloudlösungen (z. B. Kollaborationstools) zum Tragen kommt. Von manchen Teilnehmer*innen wurde auch die fehlende Sichtbarkeit einer Strategie bei der BaFin kritisiert und das Bild einer Behörde gezeichnet, welche den Banking- und IT-Trends hinterherläuft. Allerdings publiziert die BaFin mittlerweile auch Mittelfristziele und adressiert aktuelle Themen wie ESG in der anstehenden MaRisk Novelle.
Herausforderungen der Institute und IT-Provider
Im Fokus stand natürlich das Thema Auslagerungsmanagement und die damit verbundenen Herausforderungen. Diese beschränken sich nicht alleine auf knappe Ressourcen, die eine zusätzliche Hürde darstellen. Vieles kann intern in den Instituten gar nicht mehr bewältigt werden. Auslagerungen bzw. die Ausgliederung von IT-Dienstleistungen sind dadurch für Finanzdienstleister nicht mehr wegzudenken. Die Finanzaufsicht trägt dem mittlerweile Rechnung und widmet ihre Prüfungshandlungen auch zunehmend den ausgelagerten Prozessen. Dabei bleibt die Verantwortung – und das war für die Teilnehmer*innen keine Neuigkeit – bei den beaufsichtigten Unternehmen.
Auch eine Steigerung der Effizienz ist durch solche Auslagerungen möglich. Dadurch und durch den Einsatz neuer Technologien ist es besser möglich, dem Kostendruck und dem Wettbewerb Stand zu halten. Aber auch hier gilt es, den regulatorischen Anforderungen zu genügen.
Individuelle statt pauschale Lösungen
Die steigende Zahl an Anforderungen und das teilweise Fehlen hilfreicher Konkretisierungen waren ebenfalls wichtige Themen beim Fujitsu Compliance Circle. Viele Regularien können unterschiedlich interpretiert werden. Wie geht man in solchen Fällen am besten vor, um nicht unnötig in Probleme zu geraten? Die sich aus dieser Fragestellung ergebende Diskussion war spannend: Zum einen werden die Forderungen der Institute nach einer Konkretisierung der Anforderungen durch den Regulator immer lauter, um den Interpretationsspielraum zu reduzieren. Zum anderen jedoch kann ein gewisser Interpretationsspielraum auch Vorteile für die Institute bringen, wie manche Teilnehmer*innen anmerkten.
Die Expert*innen des Fujitsu Compliance Circles. V.l.n.r.: Nicole Klotzsch, Moderator Thorsten Hahn / BANKINGCLUB, Wolfgang Gratzer, Manfred Pfeiffer und Christian Schulz.
Diese verschiedenen Sichtweisen stehen exemplarisch für eine generelle Erkenntnis, die wir aus der Veranstaltung ziehen konnten. Eine Pauschallösung für alle Herausforderungen kann es aufgrund der unterschiedlichen Aufgabenstellungen und Prozesse z. B. innerhalb von Banken nicht geben. Das Ziel muss es sein, die Anforderungen der Aufsicht zugeschnitten auf das eigene Unternehmen in funktionsfähige Prozesse zu übersetzen und wirksame Kontrollen unter Berücksichtigung des eigenen Risikoappetits, der Sicherheit, der Ordnungsmäßigkeit und der vorhandenen Ressourcen zu implementieren. Der FCC ist dabei ein wichtiger Baustein auf dem Weg zur passenden Strategie.
Sehen wir uns beim nächsten Fujitsu Compliance Circle?
Wir bedanken uns bei allen Teilnehmer*innen des Fujitsu Compliance Circles in Frankfurt, die diesen Raum zur Diskussion genutzt und ihre Best Practices und Problemstellungen in einem offenen und konstruktiven Dialog ausgetauscht haben. Wir freuen uns schon jetzt auf den nächsten FCC im Frühjahr 2023. Vielleicht auch mit Ihnen?
Falls Sie nicht so lange warten möchten und schon jetzt Unterstützung bei der Umsetzung regulatorischer Anforderungen benötigen, sprechen Sie einfach unseren Experten Christian Schulz zu den FIS Compliance Services wie z.B. dem Risikomanagement Service oder dem Compliance Consulting an.
Kontakt
Christian Schulz
FIS Compliance Consulting
LinkedIn
christian.schulz@fujitsu.com oder FIScompliance@fujitsu.com
Beate Keitel ist Business Partner for Private Sector Marketing Lead DE bei Fujitsu. In ihrem Arbeitsalltag ist sie immer neugierig, interessante Menschen mit außergewöhnlichen Themen kennenzulernen