Digital Trust

Digital Trust Blog

,

BaFin Rundschreiben 11/2021 (BA) Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT)

Themenbereich Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

Zeitplan & Rechtliche Grundlagen, wesentliche Inhalte 

IT-Compliance FS 

Zeitplan und rechtliche Grundlagen 

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 16. August 2021 die „Zahlungsdiensteaufsichtliche Anforderungen an die IT“ (ZAIT) in der finalen Fassung veröffentlicht. Das Rundschreiben betrifft alle Zahlungs- und E-Geld-Institute im Sinne von § 1 Absatz 3 Zahlungsmittelgesetz (ZAG). Die ZAIT finden unmittelbar nach Veröffentlichung Anwendung. Die Aufsicht weist in Ihrem Anschreiben darauf hin, dass es einer allgemeinen Übergangsfrist insoweit nicht bedarf, weil die ZAIT bereits bestehende aufsichtsrechtliche Anforderungen ergänzend interpretieren. Es sollen jedoch die Übergangsfristen aus den EBA-Leitlinien entsprechende Anwendung finden. Damit ist davon auszugehen, dass in Bezug auf die Umsetzung der vertraglichen Anforderungen und die Erstellung des erforderlichen Auslagerungsregisters insoweit der
31. Dezember 2021 maßgebend ist.           

Die inhaltlichen Anforderungen der ZAIT orientieren sich an den IT-Anforderungen für Banken (BAIT) und beinhalten insbesondere die EBA Anforderungen aus den EBA Leitlinien für IKT und Sicherheitsrisikomanagement (GL/2017/17) sowie die EBA-Leitlinien zu Auslagerungen (GL 2019/02). Durch das separate Rundschreiben für Zahlungs- und E-Geld-Institute werden die IT-Anforderungen für diese Adressaten dem ZAG entsprechend bei gleichzeitiger Berücksichtigung des Proportionalitätsgrundsatzes konkretisiert. 

,

BaFin MaRisk (RS 10/2021) und BAIT Novelle 2021 (RS 10/2017 Fassung 16.08.2021): Themenbereich Dienstleistermanagement und deren Auswirkungen auf (IT-) Auslagerungen

Zeitplan, wesentliche Änderungen (Neuerungen) und Präzisierungen

IT-Compliance FS

Zeitplan

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 16. August 2021 das neue Rundschreiben „Mindestanforderungen an das Risikomanagement“ (MaRisk) veröffentlicht. Die 6. MaRisk Novelle 2021 setzt auch für (IT-) Auslagerungen die europäischen Leitlinien zu Auslagerungen (EBA Guidelines on outsourcing arrangements 2019) sowie zum Management von IKT- und Sicherheitsrisiken (Guidelines on ICT and Security Risk Management 2019) in die nationale deutsche Aufsichtspraxis um. Die Überarbeitung ist in erster Linie auf Änderungen dieser internationalen Regelsetzung zurückzuführen. Weil die Inhalte der Mindestanforderungen an die IT (BAIT) auf den Mindestanforderungen an das Risikomanagement aufbauen, wurde die BAIT-Novelle parallel zur 6. MaRisk Novelle entwickelt und gleichzeitig am 16. August veröffentlicht. In der Novelle der BAIT 2021 konkretisiert die Aufsicht ihre Erwartungen an die IT und die Informationssicherheit von Banken. Diese gelten auch in Bezug auf die Anforderungen an Auslagerungen und sonstigen Fremdbezug von IT-Dienstleistungen (Abschnitt 9). Die Änderungen in Bezug auf das Dienstleistermanagement sind hier weitgehend redaktionell.

,

Sicherer und aufsichtskonformer Einsatz von RPA-Technologie

Die PwC-Studie “Robotic Process Automation (RPA) in der DACH-Region” aus dem letzten Jahr zeigt, dass Unternehmen aus Deutschland, Österreich und der Schweiz das Potenzial von Robotic Process Automation erkannt haben und mehr als die Hälfte von ihnen solche Lösungen bereits einsetzen.

Diese Erkenntnis nehmen wir auch in Bezug auf den Finanzsektor wahr. Viele unserer Kunden haben erste Roboter implementiert und sehen weiteres Potenzial in ihrer Prozesslandschaft. Oft wird in der Euphorie erster Implementierungserfolge jedoch zu spät erkannt, dass die regulatorischen Anforderungen an den Einsatz von Software-Robotern entweder nicht oder nur unzureichend berücksichtigt wurden. Gerade in einer stark regulierten Branche resultieren aus diesen Schwachstellen mögliche nicht zu vernachlässigende Risiken.

,

Relevanz einer ordnungsgemäßen RPA Governance für Finanzdienstleister

Aus welchen Gründen benötigen Finanzdienstleister eine RPA Governance?

Immer mehr Finanzdienstleister setzen auf die Automatisierung von Routineaufgaben und Geschäftsprozessen mit Hilfe der RPA-Technologie. Dabei zeigt sich ein typisches Bild: Die einzelnen Fachbereiche agieren eigenständig und setzen ihre Vorhaben dezentral um. Bei einer nach und nach steigenden Anzahl von RPA-Prozessen ergeben sich jedoch einige Risiken und Herausforderungen:

,

Der Nutzen von neuen Technologien in der Internen Revision

Nach dem wir in unserem letzten Eintrag die Herausforderungen der Internen Revision genauer betrachtet haben, möchten wir heute die Lösungen in den Vordergrund stellen.

Digitale Technologien können die Effizienz der Internen Revision steigern und helfen, aktiver und strategischer zu agieren und so einen Mehrwert für das Unternehmen zu liefern. Zu den Technologien, die in der Internen Revision einen erheblichen Mehrwert schaffen können, gehören u.a. die Datenanalyse, Process Mining, Robotic Process Automation sowie künstliche Intelligenz.

,

Herausforderungen und Lösungsansätze der Internen Revision

Nichts bleibt wie es einmal war. Die Digitalisierung verändert unsere Arbeitsweise und die Gesellschaft in einem rasanten Tempo. Der Übergang von der realen in die virtuelle Welt verschwimmt zunehmend. Bei der Digitalisierung spielen neue, disruptive Technologien eine bedeutende Rolle. Wer sich anpasst und Technologien adaptiert, bekommt die Chance, effizienter zu arbeiten und Ziele schneller zu erreichen. Wer sich der Innovation stellt, sich den neuen Gegebenheiten anpasst und den Schritt nach vorne wagt, wird in der Lage sein, langfristig wettbewerbsfähig zu bleiben.

,

IT-Regulatorik Update – Konsultation der Erstfassung der Zahlungsdienste-aufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT)

Am 12. April 2021 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) den Konsultationsprozess zu den „Zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT)“ eingeleitet. Stellungnahmen zum Entwurf können der Deutschen Bundesbank sowie der BaFin bis zum 14. Mai 2021 schriftlich mitgeteilt werden und sollen auf den jeweiligen Webseiten veröffentlicht werden.

Der Konsultationsentwurf greift die Anforderungen der sich aktuell ebenfalls im Konsultationsverfahren befindlichen Novelle der Bankaufsichtlichen Anforderungen an die IT (BAIT) auf und ergänzt diese um weitere Anforderungen zur Aufbau- und Ablauforganisation, zur technisch-organisatorischen Ausstattung, zum Notfallmanagement sowie zu Auslagerungen. Diese Ergänzungen orientieren sich dabei an den entsprechenden Anforderungen aus der aktuellen Konsultationsfassung der Mindestanforderungen an das Risikomanagement (MaRisk). Zudem werden spezifische Anforderungen zum Management der Beziehungen mit Zahlungsdienstnutzern niedergelegt.

,

Digital Internal Audit

Durch unabhängige und objektive Prüfungsaktivitäten hilft die Interne Revision die Risikosituation des Unternehmens angemessen zu beurteilen. Die Interne Revision trägt auch dazu bei, die Prozessabläufe zu verbessern und die Effektivität der Kontrollsysteme zu erhöhen. Um richtig auf die digitale Transformation zu reagieren, muss die Interne Revision jedoch auch die Entwicklung disruptiver, innovativer und transformativer Lösungen vorantreiben. Dadurch steigt die Qualität der Prüfung und die Rolle der Internen Revision verändert sich. Die Interne Revision befindet sich bei der Digitalisierung im Zugzwang, denn trotz der aktuellen Veränderungen hat sich die Tätigkeit und das Prüfungsvorgehen der Internen Revision in den letzten Jahren nur punktuell verändert. Um den Anschluss nicht zu verlieren, muss sich die Art und Weise ändern, wie Revisionsprüfungen durchgeführt werden.

,

Text Mining im Finanzsektor: Einfache und schnelle Analyse von Texten zur Generierung von Erkenntnissen und Effizienzsteigerungen

Text Mining ermöglicht die (teil-) automatisierte Auswertung von Texten in einem Umfang, der durch herkömmliche manuelle Analysen nicht zu bewältigen ist.

Dank Text Mining können Mitarbeitende aus der Informationsflut an Texten im Unternehmen relevante Daten ohne großen Zeitaufwand für sich erschließen. Auch werden neue Erkenntnisse gewonnen, auf deren Basis schnellere Entscheidungen getroffen werden können, wodurch Unternehmen Effizienzsteigerungen wie bspw. durch Produktoptimierung oder Kosteneinsparpotentiale verzeichnen.

,

Vertrauensvoller Einsatz von künstlicher Intelligenz im Finanzsektor – Das BSI veröffentlicht weltweit ersten Compliance Kriterienkatalog für Künstliche Intelligenz

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 2. Februar 2021 den ersten Kriterienkatalog für den vertrauenswürdigen und sicheren Einsatz von Künstlicher Intelligenz (KI) veröffentlicht.

Die Kriterien im AI Cloud Service Compliance Criteria Catalogue (AIC4) können vielfältig angewendet werden: Als Grundlage für Prüfungen nach ISAE 3000 (Revised) schaffen sie Transparenz für Nutzer von KI-Services. Ebenso bilden sie eine solide Grundlage für die Qualitätssicherung von KI im Entwicklungs- und Betriebsprozess.