BaFin veröffentlicht Anforderungen an die IT für Banken BAIT

Die Bundesanstalt für Finanzdienstleistungsaufsicht hat am 06.11.2017 die BAIT veröffentlicht.

“Wie die Mindestanforderungen an das Risikomanagement der Banken (MaRisk), deren neueste Fassung die BaFin Ende Oktober veröffentlicht hat, interpretieren auch die BAIT die gesetzlichen Anforderungen des § 25a Absatz 1 Satz 3 Nr. 4 und 5 Kreditwesengesetz (KWG). Die Aufsicht erläutert darin, was sie unter einer angemessenen technisch-organisatorischen Ausstattung der IT-Systeme, unter besonderer Berücksichtigung der Anforderungen an die Informationssicherheit sowie eines angemessenen Notfallkonzepts, versteht. Da die Institute zunehmend IT-Dienstleistungen von Dritten beziehen, auch im Rahmen von Auslagerungen, wird auch der § 25b KWG in diese Interpretation einbezogen.”

Quelle: BaFin

MaRisk Novelle 2017: Veröffentlichung der Endfassung durch das BaFin

Das BaFin hat am 27.10.2017 die Endfassung der MaRisk Novelle 2017 veröffentlicht. Wesentliche inhaltliche Änderungen betreffen die Themenbereiche Risikodatenaggregation und Risikoberichterstattung, Risikokultur und Verhaltenskodex sowie Auslagerungen. Aus Sicht des Business Continuity Management gab es an der zentralen Regelung im AT 7.3 Notfallkonzept keine Änderungen. Indirekt ist das BCM insbesondere durch die überarbeiteten Regelungen im Themenbereich Auslagerungen betroffen. Der Tatbestand des Vorliegens einer Auslagerung ist in der Neufassung für den Fremdbezug von IT-Leistungen genauer spezifiziert. Bei Vorliegen einer Auslagerung sind unverändert die Notfallkonzepte des auslagernden Instituts und des Auslagerungsunternehmens aufeinander abzustimmen.

Neu aufgenommen wurde der Schutzbedarf von Informationswerten als Anforderungskriterium. Die Ergebnisse des Informationssicherheitsmanagements finden somit stärkere Berücksichtigung in den Regelungen. Dies betrifft das IT-Risikomanagement, die Überprüfung von Berechtigungen im Berechtigungsmanagement sowie Anforderungen an die Individuelle Datenverarbeitung IDV.

Anforderungen an die Überwachungs- und Steuerungsprozesse für IT-Risiken und Regelungen zur IDV sind neu in die MaRisk aufgenommen.

Die Änderungen der neuen Fassung sind in Anlage 2 zum Rundschreiben ersichtlich.

(Wirt­schafts-)In­for­ma­ti­ker/-in (FH oder Ba­che­lor) für die Un­ter­stüt­zung des Not­fall­be­auf­trag­ten/Be­auf­trag­ten für das Busi­ness Con­ti­nui­ty Ma­nage­ment (BCM) bei der Kon­zep­ti­on und beim Auf­bau ei­nes Not­fall­ma­na­ge­ments am Dienst­sitz Bonn

Arbeitgeber: Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin)

Tätigkeitsprofil:

  • Mitarbeit bei der Erstellung und Ausarbeitung eines Notfallmanagements orientiert an BSI Standard 100-4 (insbesondere Risikoanalyse, Notfallvorsorgekonzept, Notfallhandbuch), der Koordinierung der BCM Projektgruppe und der Zusammenarbeit mit externen Fachberatern
  • Konzeption und Durchführung von Schulungs- und Sensibilisierungsmaßnahmen von Beschäftigten

Stellenangebot bei bund.de bis 02.09.2014

MaRisk-Novelle 2012 des BaFin erschienen

Am 14. Dezember 2012 hat das BaFin die endgültige Fassung der überarbeiteten MaRisk für Banken (MaRisk BA) veröffentlicht. Der Schwerpunkt der Änderungen liegt in den neuen Modulen AT 4.4.1 (Risikocontrolling-Funktion) und AT 4.4.2 (Compliance-Funktion) sowie in den Änderungen des BTR 3.1 (Verrechnungssystem für Liquiditätskosten, -nutzen und –risiken). Die für das Business Continuity Management relevanten Regelungen (insbesondere AT 7.2, 7.3 und AT 9) sind nahezu unverändert übernommen. Eine detaillierte Auflistung der Veränderungen wird vom BaFin zur Verfügung gestellt. Die neue Fassung der MaRisk tritt mit dem 01.01.2013 in Kraft. “Um den Instituten trotzdem ausreichende Umsetzungszeiträume einzuräumen, sind Anforderungen, die im MaRisk-Kontext neu sind und nicht lediglich Klarstellungen ohnehin schon vorhandener Anforderungen darstellen, bis zum 31.12.2013 umzusetzen.”

Konsultation des BaFin für das “Testament” systemrelevanter Banken

Die Bundesanstalt für Finanzdienstleistungsaufsicht BaFin hat den “Entwurf eines Rundschreibens zu Mindestanforderungen an die Ausgestaltung von Sanierungsplänen” veröffentlicht (MaSan). Als systemrelevant definierte Banken haben auf der Grundlage des §25a KWG einen Sanierungsplan zu erstellen. Dieser muß diese Institute in Krisenfällen in die Lage versetzen, die Überlebensfähigkeit ohne den Verlust von Steuergeldern zu sichern. Die Kreditinstitute haben hierzu in ihrem “Testament” Handlungsoptionen zu beschreiben, um die Finanzstärke sicher- und wiederherzustellen, wenn Belastungsszenarien eintreten. Hierzu sind auch die wesentlichen und systemrelevanten Geschäftsaktivitäten zu identifizieren und nachvollziehbar zu begründen. Dies schreit geradezu nach einer Business Impact Analyse. Im Kern geht es um den “großen Notfallplan”, der die Überlebensfähigkeit des Kreditinstituts bei Finanzmarktkrisen aus sich heraus, ohne staatliche Hilfe, sichern soll. Bis Ende 2013 sind die Sanierungspläne zu entwickeln und implementieren. Die Jahresabschlussprüfer haben den Sanierungsplan jährlich zu prüfen und beurteilen. Die für die Umsetzung in Krisensituationen  notwendigen Informationen sind jederzeit verfügbar zu halten. Bei der Erstellung sind alle erforderlichen Organisationseinheiten einzubeziehen.

BaFin veröffentlicht neugefasstes MaComp Rundschreiben

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat heute die Neufassung des Rundschreibens MaComp 4/2010 (WA) veröffentlicht.

Das Rundschreiben beinhaltet Mindestanforderungen an die Compliance-Funktion und die weiteren Verhaltens-, Organisations- und Transparenzpflichten nach §§ 31 ff. WpHG für Wertpapierdienstleistungsunternehmen (MaComp).

Unter AT 6.2 werden auch die Anforderungen an eine Notfallvorsorge definiert:

AT 6.2 Mittel und Verfahren des Wertpapierdienstleistungsunternehmens:

  1. Zu den notwendigen Mitteln und Verfahren eines Wertpapierdienstleistungsunternehmens zählen insbesondere

    b. Vorkehrungen, um bei Systemausfällen und -störungen Verzögerungen bei der Auftragsausführung oder -weiterleitung möglichst gering zu halten,

Leider fokussiert diese Anforderung in der neugefassten MaComp nur auf Ausfälle und Störungen der IT. Allerdings sind Finanzdienstleistungsunternehmen durch  zahlreiche weitere gesetzliche und regulatorische Anforderungen zur Notfallvorsorge für kritische Geschäftsprozesse gezwungen, so dass diese Einschränkung letztendlich nicht entscheidend für den Umfang der zu treffenden Notfallvorsorge  ist.

BaFin veröffentlicht ersten Entwurf der überarbeiteten MaRisk für Banken

Das BaFin hat am 09. Juli 2010 den ersten Entwurf zur neuerlichen Überarbeitung der MaRisk für Banken veröffentlicht.

Der für das Business Continuity Management maßgebliche AT 7.3 ist in diesem ersten Entwurf unangetastet geblieben. Hier sind demzufolge keine (größeren) Änderungen zu erwarten. Dies wäre auch überraschend gewesen.

Interessant aus BCM-Sicht sind jedoch auch die Änderungen, die in diesem Entwurf vorgenommen wurden. Insbesondere die Änderungen in AT 4.2 “Strategien” halte ich für bemerkenswert. Betont wird noch einmal, dass der “Inhalt der Geschäftsstrategie allein in der Verantwortung der Geschäftsleitung liegt”. Die Inhalte der Geschäftsstrategie sind daher auch nicht Gegenstand von Prüfungen. Sehr wohl aber der prozessuale Rahmen für die Erstellung der Geschäftsstrategie, bestehend aus “Planung, Anpassung, Umsetzung und Beurteilung”. Nichts anderes als der uns aus dem BCM-Standard BS 25999-2 und anderen ISO-Standards wohlbekannte PDCA (Plan-Do-Check-Act) Zyklus. Für das BCM lässt sich aus der stärkeren Fokussierung der Aufsicht auf die Prozesse für die Geschäfts- und Risikostrategie und der eindeutigen Zuordnung der Verantwortung für die Inhalte der Strategien zu der Geschäftsleitung eine äquivalente Betrachtung ableiten.

Die inhaltlicher Verantwortung für die Festlegung des Risikos, das im BCM getragen wird, liegt bei der Geschäftsleitung. Dies beinhaltet beispielsweise die Festlegung der zeitkritischen Prozesse, für die Notfallkonzepte und Notfallplanungen erstellt werden (Risikoakzeptanzniveau). Die Geschäftsleitung kann hier, je nach Risikoappetit, risikofreudig oder eher risikoavers entscheiden. Von zentraler Bedeutung und Gegenstand der aufsichtlichen Prüfungen sind jedoch die Prozesse des BCM. Hierzu zählen beispielsweise die Prozesse

  • zur Ermittlung der zeitkritischen Prozesse (Business Impact Analyse)
  • zur Identifikation der relevanten Risiken (Risikoanalyse)
  • zur Festlegung der verfügbaren Notfallstrategien
  • zur Erstellung der Notfallkonzepte und Geschäftsfortführungs- und Wiederanlaufpläne
  • zur Überprüfung der Wirksamkeit der Maßnahmen in Form von Tests und Übungen.

Hinzu kommt die Festlegung der Organisation des BCM mit der Definition der Rollen, Aufgaben und Kompetenzen zum Beispiel in Form einer BCM-Policy.

Diese Prozesse müssen nicht nur vorhanden, sondern für ein externes oder internes Audit auch angemessen dokumentiert sein. Die Einhaltung der Prozesse und Aktualisierung muß in der BCM-Organisation zum Beispiel durch eine zentrale BCM-Verantwortung sichergestellt sein.

Standards helfen bei der Definition und Dokumentation der Prozesse. Im BCM sind dies insbesondere die Standards BS 25999-1, -2 und der deutsche Standard für Notfallmanagement BSI 100-4. Die in diesen Standards beschriebenen BCM-Prozesse bilden den PDCA-Zyklus, wie in den MaRisk gefordert, vollständig ab. Eine sehr gute Hilfe für die Implementierung der BCM-Prozesse sind auch die Good Practice Guidelines des BCI, die gerade in einer überarbeiteten neuen Version erschienen sind. Leider nicht mehr kostenlos für Nicht-Mitglieder, aber allemal das Geld wert.

Bundesbank überprüft Pandemievorsorge der Banken

Nachdem die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) vor Kurzem bereits die Versicherungen nach dem Stand ihrer Pandemievorsorge abgefragt hat (bcm-news berichtete), sind jetzt die Banken und Sparkassen an der Reihe. Damit soll sichergestellt werden, dass im Falle einer Pandemie der normale Geschäftsbetrieb aufrecht erhalten werden kann. Weiterlesen…

BaFin veröffentlicht die Neufassung der MaRisk für Banken

Heute hat das BaFin die Neufassung der MaRisk für Banken veröffentlicht. Die Änderungen sind in der Anlage 2 der Neufassung dokumentiert.

Die Inhalte des AT 7.3 “Notfallkonzept” sind unverändert geblieben.

Für Institutsgruppen, Finanzholdings und Finanzkonglomerate sind die Anforderungen an das Risikomangement auf Gruppenebene, die in AT 4.5 beschrieben sind, von besonderer Relevanz für die Umsetzung des Business Continuity Managements in der Gruppe.

Link zur Neufassung der MaRisk

BaFin veröffentlich MaRisk für Versicherungen MaRisk (VA)

Das BaFin hat die MaRisk VA  veröffentlicht.

Die “Mindestanforderungen an das Risikomanagement” (MaRisk  VA) legen den seit dem 01. Januar 2008 geltenden § 64a Versicherungsaufsichtsgesetz “Gesetz über die Beaufsichtigung der Versicherungsunternehmen”(VAG) für die Aufsicht verbindlich aus, der Mindeststandards für eine ordnungsgemäße Geschäftsorganisation und vor allem für ein angemessenes Risikomanagement vorsieht.

Die Anforderungen an das Notfallmanagement sind in Abschnitt 9 geregelt:

1    Unternehmen haben Vorsorge (Notfallplanung) zu treffen für Störfälle, Notfälle und Krisen, in denen die Kontinuität der wichtigsten Unternehmensprozesse und –systeme nicht mehr gewährleistet ist und die normalen Organisations-/Entscheidungsstrukturen nicht mehr ausreichen, um sie zu beherrschen.

Ziel der Notfallplanung ist die Fortführung der Geschäftstätigkeit mit Hilfe von definierten Verfahren und der Schutz von Personen und Sachen sowie Vermögen im Sinne der Wertschöpfung.

2    Die Notfallplanung ist regelmäßig hinsichtlich Wirksamkeit und Angemessenheit zu überprüfen.

3    Die Notfallplanung muss den beteiligten Geschäftsbereichen zur Verfügung gestellt werden.

Die Versicherungen verfügen somit ebenfalls wie die Finanzdienstleister über konkretisierte Regelungen, die Basis für Prüfungen des Risikomanagements sein werden.

Die MaRisk für Finanzdienstleister befinden sich derzeit in Überarbeitung beim BaFin.