Digital Trust Blog

BaFin Rundschreiben 11/2021 (BA) Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT)

Themenbereich Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

Zeitplan & Rechtliche Grundlagen, wesentliche Inhalte 

IT-Compliance FS 

Zeitplan und rechtliche Grundlagen 

Die Bundesanstalt f√ľr Finanzdienstleistungsaufsicht (BaFin) hat am 16. August 2021 die ‚ÄěZahlungsdiensteaufsichtliche Anforderungen an die IT‚Äú (ZAIT) in der finalen Fassung ver√∂ffentlicht. Das Rundschreiben betrifft alle Zahlungs- und E-Geld-Institute im Sinne von ¬ß 1 Absatz 3 Zahlungsmittelgesetz (ZAG). Die ZAIT finden unmittelbar nach Ver√∂ffentlichung Anwendung. Die Aufsicht weist in Ihrem Anschreiben darauf hin, dass es einer allgemeinen √úbergangsfrist insoweit nicht bedarf, weil die ZAIT bereits bestehende aufsichtsrechtliche Anforderungen erg√§nzend interpretieren. Es sollen jedoch die √úbergangsfristen aus den EBA-Leitlinien entsprechende Anwendung finden. Damit ist davon auszugehen, dass in Bezug auf die Umsetzung der vertraglichen Anforderungen und die Erstellung des erforderlichen Auslagerungsregisters insoweit der
31. Dezember 2021 ma√ügebend ist.           

Die inhaltlichen Anforderungen der ZAIT orientieren sich an den IT-Anforderungen f√ľr Banken (BAIT) und beinhalten insbesondere die EBA Anforderungen aus den EBA Leitlinien f√ľr IKT und Sicherheitsrisikomanagement (GL/2017/17) sowie die EBA-Leitlinien zu Auslagerungen (GL 2019/02). Durch das separate Rundschreiben f√ľr Zahlungs- und E-Geld-Institute werden die IT-Anforderungen f√ľr diese Adressaten dem ZAG entsprechend bei gleichzeitiger Ber√ľcksichtigung des Proportionalit√§tsgrundsatzes konkretisiert. 

BaFin MaRisk (RS 10/2021) und BAIT Novelle 2021 (RS 10/2017 Fassung 16.08.2021): Themenbereich Dienstleistermanagement und deren Auswirkungen auf (IT-) Auslagerungen

Zeitplan, wesentliche √Ąnderungen (Neuerungen) und Pr√§zisierungen

IT-Compliance FS

Zeitplan

Die Bundesanstalt f√ľr Finanzdienstleistungsaufsicht (BaFin) hat am 16. August 2021 das neue Rundschreiben ‚ÄěMindestanforderungen an das Risikomanagement‚Äú (MaRisk) ver√∂ffentlicht. Die 6. MaRisk Novelle 2021 setzt auch f√ľr (IT-) Auslagerungen die europ√§ischen Leitlinien zu Auslagerungen (EBA Guidelines on outsourcing arrangements 2019) sowie zum Management von IKT- und Sicherheitsrisiken (Guidelines on ICT and Security Risk Management 2019) in die nationale deutsche Aufsichtspraxis um. Die √úberarbeitung ist in erster Linie auf √Ąnderungen dieser internationalen Regelsetzung zur√ľckzuf√ľhren. Weil die Inhalte der Mindestanforderungen an die IT (BAIT) auf den Mindestanforderungen an das Risikomanagement aufbauen, wurde die BAIT-Novelle parallel zur 6. MaRisk Novelle entwickelt und gleichzeitig am 16. August ver√∂ffentlicht. In der Novelle der BAIT 2021 konkretisiert die Aufsicht ihre Erwartungen an die IT und die Informationssicherheit von Banken. Diese gelten auch in Bezug auf die Anforderungen an Auslagerungen und sonstigen Fremdbezug von IT-Dienstleistungen (Abschnitt 9). Die √Ąnderungen in Bezug auf das Dienstleistermanagement sind hier weitgehend redaktionell.

Sicherer und aufsichtskonformer Einsatz von RPA-Technologie

Die PwC-Studie ‚ÄúRobotic Process Automation (RPA) in der DACH-Region‚ÄĚ aus dem letzten Jahr zeigt, dass Unternehmen aus Deutschland, √Ėsterreich und der Schweiz das Potenzial von Robotic Process Automation erkannt haben und mehr als die H√§lfte von ihnen solche L√∂sungen bereits einsetzen.

Diese Erkenntnis nehmen wir auch in Bezug auf den Finanzsektor wahr. Viele unserer Kunden haben erste Roboter implementiert und sehen weiteres Potenzial in ihrer Prozesslandschaft. Oft wird in der Euphorie erster Implementierungserfolge jedoch zu sp√§t erkannt, dass die regulatorischen Anforderungen an den Einsatz von Software-Robotern entweder nicht oder nur unzureichend ber√ľcksichtigt wurden. Gerade in einer stark regulierten Branche resultieren aus diesen Schwachstellen m√∂gliche nicht zu vernachl√§ssigende Risiken.

Relevanz einer ordnungsgem√§√üen RPA Governance f√ľr Finanzdienstleister

Aus welchen Gr√ľnden ben√∂tigen Finanzdienstleister eine RPA Governance?

Immer mehr Finanzdienstleister setzen auf die Automatisierung von Routineaufgaben und Geschäftsprozessen mit Hilfe der RPA-Technologie. Dabei zeigt sich ein typisches Bild: Die einzelnen Fachbereiche agieren eigenständig und setzen ihre Vorhaben dezentral um. Bei einer nach und nach steigenden Anzahl von RPA-Prozessen ergeben sich jedoch einige Risiken und Herausforderungen:

Der Nutzen von neuen Technologien in der Internen Revision

Nach dem wir in unserem letzten Eintrag die Herausforderungen der Internen Revision genauer betrachtet haben, möchten wir heute die Lösungen in den Vordergrund stellen.

Digitale Technologien k√∂nnen die Effizienz der Internen Revision steigern und helfen, aktiver und strategischer zu agieren und so einen Mehrwert f√ľr das Unternehmen zu liefern. Zu den Technologien, die in der Internen Revision einen erheblichen Mehrwert schaffen k√∂nnen, geh√∂ren u.a. die Datenanalyse, Process Mining, Robotic Process Automation sowie k√ľnstliche Intelligenz.

Herausforderungen und Lösungsansätze der Internen Revision

Nichts bleibt wie es einmal war. Die Digitalisierung verändert unsere Arbeitsweise und die Gesellschaft in einem rasanten Tempo. Der Übergang von der realen in die virtuelle Welt verschwimmt zunehmend. Bei der Digitalisierung spielen neue, disruptive Technologien eine bedeutende Rolle. Wer sich anpasst und Technologien adaptiert, bekommt die Chance, effizienter zu arbeiten und Ziele schneller zu erreichen. Wer sich der Innovation stellt, sich den neuen Gegebenheiten anpasst und den Schritt nach vorne wagt, wird in der Lage sein, langfristig wettbewerbsfähig zu bleiben.

IT-Regulatorik Update ‚Äď Konsultation der Erstfassung der Zahlungsdienste-aufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT)

Am 12. April 2021 hat die Bundesanstalt f√ľr Finanzdienstleistungsaufsicht (BaFin) den Konsultationsprozess zu den „Zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT)“ eingeleitet. Stellungnahmen zum Entwurf k√∂nnen der Deutschen Bundesbank sowie der BaFin bis zum 14. Mai 2021 schriftlich mitgeteilt werden und sollen auf den jeweiligen Webseiten ver√∂ffentlicht werden.

Der Konsultationsentwurf greift die Anforderungen der sich aktuell ebenfalls im Konsultationsverfahren befindlichen Novelle der Bankaufsichtlichen Anforderungen an die IT (BAIT) auf und ergänzt diese um weitere Anforderungen zur Aufbau- und Ablauforganisation, zur technisch-organisatorischen Ausstattung, zum Notfallmanagement sowie zu Auslagerungen. Diese Ergänzungen orientieren sich dabei an den entsprechenden Anforderungen aus der aktuellen Konsultationsfassung der Mindestanforderungen an das Risikomanagement (MaRisk). Zudem werden spezifische Anforderungen zum Management der Beziehungen mit Zahlungsdienstnutzern niedergelegt.

Digital Internal Audit

Durch unabh√§ngige und objektive Pr√ľfungsaktivit√§ten hilft die Interne Revision die Risikosituation des Unternehmens angemessen zu beurteilen. Die Interne Revision tr√§gt auch dazu bei, die Prozessabl√§ufe zu verbessern und die Effektivit√§t der Kontrollsysteme zu erh√∂hen. Um richtig auf die digitale Transformation zu reagieren, muss die Interne Revision jedoch auch die Entwicklung disruptiver, innovativer und transformativer L√∂sungen vorantreiben. Dadurch steigt die Qualit√§t der Pr√ľfung und die Rolle der Internen Revision ver√§ndert sich. Die Interne Revision befindet sich bei der Digitalisierung im Zugzwang, denn trotz der aktuellen Ver√§nderungen hat sich die T√§tigkeit und das Pr√ľfungsvorgehen der Internen Revision in den letzten Jahren nur punktuell ver√§ndert. Um den Anschluss nicht zu verlieren, muss sich die Art und Weise √§ndern, wie Revisionspr√ľfungen durchgef√ľhrt werden.

Text Mining im Finanzsektor: Einfache und schnelle Analyse von Texten zur Generierung von Erkenntnissen und Effizienzsteigerungen

Text Mining ermöglicht die (teil-) automatisierte Auswertung von Texten in einem Umfang, der durch herkömmliche manuelle Analysen nicht zu bewältigen ist.

Dank Text Mining k√∂nnen Mitarbeitende aus der Informationsflut an Texten im Unternehmen relevante Daten ohne gro√üen Zeitaufwand f√ľr sich erschlie√üen. Auch werden neue Erkenntnisse gewonnen, auf deren Basis schnellere Entscheidungen getroffen werden k√∂nnen, wodurch Unternehmen Effizienzsteigerungen wie bspw. durch Produktoptimierung oder Kosteneinsparpotentiale verzeichnen.

Vertrauensvoller Einsatz von k√ľnstlicher Intelligenz im Finanzsektor – Das BSI ver√∂ffentlicht weltweit ersten Compliance Kriterienkatalog f√ľr K√ľnstliche Intelligenz

Das Bundesamt f√ľr Sicherheit in der Informationstechnik (BSI) hat am 2. Februar 2021 den ersten Kriterienkatalog f√ľr den vertrauensw√ľrdigen und sicheren Einsatz von K√ľnstlicher Intelligenz (KI) ver√∂ffentlicht.

Die Kriterien im AI Cloud Service Compliance Criteria Catalogue (AIC4) k√∂nnen vielf√§ltig angewendet werden: Als Grundlage f√ľr Pr√ľfungen nach ISAE 3000 (Revised) schaffen sie Transparenz f√ľr Nutzer von KI-Services. Ebenso bilden sie eine solide Grundlage f√ľr die Qualit√§tssicherung von KI im Entwicklungs- und Betriebsprozess.