Sicherer und aufsichtskonformer Einsatz von RPA-Technologie

Oft wird in der Euphorie erster Implementierungserfolge jedoch zu spät erkannt, dass die regulatorischen Anforderungen an den Einsatz von Software-Robotern entweder nicht oder nur unzureichend berücksichtigt wurden.

Die PwC-Studie “Robotic Process Automation (RPA) in der DACH-Region” aus dem letzten Jahr zeigt, dass Unternehmen aus Deutschland, Österreich und der Schweiz das Potenzial von Robotic Process Automation erkannt haben und mehr als die Hälfte von ihnen solche Lösungen bereits einsetzen.

Diese Erkenntnis nehmen wir auch in Bezug auf den Finanzsektor wahr. Viele unserer Kunden haben erste Roboter implementiert und sehen weiteres Potenzial in ihrer Prozesslandschaft. Oft wird in der Euphorie erster Implementierungserfolge jedoch zu spät erkannt, dass die regulatorischen Anforderungen an den Einsatz von Software-Robotern entweder nicht oder nur unzureichend berücksichtigt wurden. Gerade in einer stark regulierten Branche resultieren aus diesen Schwachstellen mögliche nicht zu vernachlässigende Risiken.

Welche Anforderungen an den Einsatz von RPA-Technologie existieren überhaupt?

Für einen sicheren und aufsichtskonformen Einsatz ergeben sich Anforderungen unter anderem aus den folgenden Themenbereichen:

• Bankenaufsicht, z.B. die Bankaufsichtlichen Anforderungen an die IT (BAIT), die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT), die Kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT) oder die Zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT)
• Handels- und Steuerrecht, z.B. die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)
• Verlautbarungen, z.B. die IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW RS FAIT 1)
• Datenschutz, z.B. die Datenschutz-Grundverordnung (DSGVO)
• Informationssicherheit, z.B. das Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0)
• Auslagerung und Cloud Computing, z.B.die IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Prozessen und Funktionen einschließlich Cloud Computing (IDW RS FAIT 5), Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue), EBA Guidelines on outsourcing arrangements
• Unternehmensinterne Vorgaben, z.B, die definierten Prozesse und zugehörige schriftlich fixierte Ordnung bzw. zugehörigen Organisationsanweisungen

Für jeden Finanzdienstleister gilt grundsätzlich, relevante Anforderungen zu identifizieren, in den Kontext des eigenen Unternehmens zu setzen, einhergehende Risiken zu bewerten und frühzeitig durch geeignete technische und organisatorische Maßnahmen zu adressieren.

Unser RPA Governance, Risk & Compliance Framework

Unser RPA Governance, Risk & Compliance Framework setzt genau an diesem Punkt an und versteht sich als übergreifendes und konsolidiertes Rahmenwerk für eine sicheren und aufsichtskonformen Einsatz der RPA-Technologie. Neben Anforderungen an die klassischen Prozesse der Entwicklung, der Änderung und des Betriebs von Software-Robotern werden auch übergreifende Aspekte wie die Informationssicherheit oder das Interne Kontrollsystem betrachtet.

Möchten Sie wissen, wie fit und compliant Sie unterwegs sind? Sprechen Sie uns gerne an und wir besprechen gemeinsam die Möglichkeit eines RPA Compliance Health Check in ihrem Haus!

Gerne unterstützen wir Sie auch bei der Beseitigung existierender Schwachstellen bzw. beim Aufbau der notwendigen Prozesse und Verfahren zur Einhaltung der regulatorischen Anforderungen!

Zu weiteren PwC Blogs