4.2.2019
Die in einer Bank ablaufenden Prozesse sind ohne die Vorzüge der modernen IT heute nicht mehr denkbar. Das gilt auch für Datenräume, die von einem externen Dienstleister zur Verfügung gestellt werden. Laut der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) wird die Relevanz der IT für den Finanzsektor weiterhin eine steigende Tendenz aufweisen.
Praxisnaher Rahmen für die technisch-organisatorische Ausstattung
Die BaFin informiert in einem Rundschreiben auf Grundlage des Kreditwesengesetzes, wie IT-Bereiche technisch und organisatorisch aufgestellt sein sollten. §25a Abs. 1 des Kreditwesengesetzes (KWG) wird in diesem Zusammenhang für eine praxisorientierte und bedarfsgerechte Gestaltung von Rahmenbedingungen genutzt, die sich zum Management von Ressourcen und Risiken der IT gleichermaßen eignen. Angesprochen werden auch Anforderungen im Hinblick auf die Auslagerungen von solchen Prozessen an einen externen Dienstleister.
Mindestanforderungen an das Risikomanagement
Das Rundschreiben der Behörde ist eine Ergänzung zu den Mindestanforderungen an das Risikomanagement, auch unter dem Kürzel MaRisk bekannt. Mit dem Rundbrief ist keine abschließende Grundlage zum Thema IT-Management und dessen Anforderungen. Die Verpflichtung, moderne Standards rund um IT-Systeme und Prozesse einzuhalten, bleibt als Grundsatz bestehen. Hier sind insbesondere die vom Bundesamt für Sicherheit in der Informationstechnik erstellten Grundschutzkataloge in Bezug auf den IT-Bereich wichtig. Relevant ist auch der international gültige Standard in Bezug auf die Sicherheit ISO/IEC 2700X, den die International Organization for Standardization erstellt hat.
Nachhaltige IT-Strategie durch die Geschäftsleitung
Foto: Adobe Stock, Sepy
Die Mindestanforderungen an das Risikomanagement sind bei der Verwirklichung der individuelle IT-Strategie in vollem Umfang zu erfüllen. Die Geschäftsführung ist in diesem Zusammenhang dazu angehalten, bei ihren strategischen Entscheidungen auf Nachhaltigkeit zu setzen und nicht nur die anvisierten Ziele, sondern auch die im Hinblick darauf geplanten Maßnahmen festzulegen. Aufbau und Abläufe der Unternehmens-IT sind klar zu regeln und immer wieder bedarfsgerecht zu aktualisieren. Die Umsetzung der strategischen Entscheidungen ist darüber hinaus konsequent zu überprüfen.