Vor welchen Schwierigkeiten stehen die Institute allerdings wiederum, wenn es um die Umsetzung der verschärften BAIT-Anforderungen geht? Was sagen Sie, Herr Hinxlage?
Hinxlage: Seit Veröffentlichung der BAIT sind die Adressaten des Rundschreibens mit Nachdruck damit beschäftigt, die weitreichenden Anforderungen der Aufsicht umzusetzen. Aufgrund der Regelungstiefe und der durch die BAIT erforderlich gewordenen Aufstockung von Ressourcen werden die Banken vor immense Herausforderungen gestellt, welche trotz der deutlich feststellbaren Bereitschaft voraussichtlich noch erhebliche personelle und zeitliche Ressourcen in Anspruch nehmen werden.
So zeigen sich trotz des seitens der Regulatorik mehrfach betonten Proportionalitätsprinzips zum Teil noch erhebliche Unterschiede zwischen dem tatsächlichen Umsetzungsstand und dem Zielbild der Aufsicht. Zwar zeigen die seitens der Genossenschaftlichen Finanzgruppe erarbeiteten Interpretationshilfen und die durchgeführten BAIT-Workshops der AWADO eine positive Wirkung und tragen zu einem erhöhten Erkenntnisgrad bei, die Herausforderungen bleiben durch den Umfang und die Detailtiefe der aufsichtlichen Anforderungen jedoch weiterhin konstant.
Inwieweit kann die AWADO hier helfen?
Hegemann: Die AWADO kann hier in vielerlei Hinsicht unterstützen. Dieses kann eine Analyse zum aktuellen Umsetzungsstand der BAIT sein, aber auch eine konkrete Unterstützung bei der Umsetzung von Themen aus der BAIT oder zur Informationssicherheit. Mit dem bankinividuellen SiMaKat besteht nun auch ein Angebot, bei der Umsetzung der Anforderungen aus den BAIT Kapiteln 3.6 und 3.7 zum Sollmaßnahmenkatalog zu unterstützen. Die ohnehin angespannte Ressourcensituation in den Banken wird hierdurch entlastet.
Hinxlage: Die AWADO trägt darüber hinaus mit Webinaren und Workshops in erheblichem Maße dazu bei, dass die Implementierung des Bankindividuellen SiMaKat im Sinne der Tz. 3.6 BAIT (Sollmaßnahmenkatalog) mit der zugrunde gelegten hocheffizienten Anwendungslogik die Anforderungen der Aufsicht vollumfänglich erfüllt werden und die erforderlichen Soll-/Ist- und Soll-/Soll-Abgleiche mit IT-Dienstleistern vorgenommen werden können.
Und wie gut werden diese Angebote und der SiMaKat angenommen?
Hinxlage: Ich bin begeistert! Der Bankindividuelle SiMaKat erfüllt mit seiner Ausrichtung an dem internationalen ISO-Standard sowie der verbauten Anwendungslogik sämtliche Anforderungen, welche die Aufsicht an den institutseigenen Sollmaßnahmenkatalog stellt. Und mit über 170 verkauften Exemplaren kann sich der Bankindividuelle SiMaKat durchaus sehen lassen. Durch den starken Einsatz des Genoverbandes - Verband der Regionen e.V. besteht darüber hinaus die Möglichkeit, den Bankindividuellen SiMaKat direkt in den Tools der FORUM GmbH und der DZ CompliancePartner freizuschalten und mit der Bearbeitung starten zu können.
Beck: Aufgrund der implementierten Anwendungslogik mittels organisatorischer und objektbezogener Sollmaßnahmen ist der Bankindividuelle SiMaKat auch ein sehr wirksames Instrument, um die weitreichende Anforderung - Durchführung des Soll-/Soll-Abgleichs auf Dienstleister-Ebene - aufsichtskonform durchzuführen. Vor allem können die Banken mit dem Bankindividuellen SiMaKat folgerichtig den längst notwendigen Perspektivwechsel einleiten: Die Bank muss ihren IT-Dienstleister steuern, nicht umgekehrt.
Hegemann: Das Thema einer ordnungsmäßigen Implementierung eines Sollmaßnahmenkatalogs inkl. der Verknüpfung zum Informationsrisikomanagement wurde in vielen Banken bislang nicht oder nur rudimentär umgesetzt, obwohl es die Anforderungen hieran schon in den BAIT vom November 2017 gab. Gleichwohl hat die Bankenaufsicht zu diesem Thema eine sehr hohe Erwartungshaltung gegenüber den Banken. Unser Angebot zielt genau auf diese Lücke ab. Nach anfänglichen zögern von Banken erwarte ich eine hohe Nachfrage nach dem Produkt. Und die Seminare waren bislang durch die Banken gut gebucht.