Kreditinstitute brauchen etablierte IT-Governancestrukturen

Die Informationstechnologie stellt heute zweifelsfrei einen wesentlichen Produktionsfaktor für Kreditinstitute jeder Säule dar. Die Mindestanforderungen an das Risikomanagement (MaRisk) rücken daher ebenso wie die aktuelle Prüfungspraxis der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und der Bundesbank die IT zunehmend in den Fokus der aufsichtsrechtlichen Betrachtung.

Doch auch auf  europäischer Ebene werden immer weitere regulatorische Anforderungen an Kreditinstitute formuliert, wie beispielsweise die europäischen Reporting-Vorgaben „Guidelines on a common reporting framework“ (COREP) und „Guidelines on a financial reporting framework“ (FINREP) der European Banking Authority (EBA)1. Im Rahmen von COREP sind z.B. Solvenz-Kennzahlen, Liquiditäts- und Eigenmittel-Anforderungen sowie Risikoexpositionsdaten in von der EBA definierten Datenformaten zu melden. Im Rahmen von FINREP sind dabei wesentliche Positionen der Bilanz- und Gewinn- und Verlustrechnung zu melden.

Diese regulatorischen Anforderungen führen zu einem wachsenden Abstimmungsbedarf zwischen bankfachlich begründeten Meldepflichten und der konkreten Umsetzung und Gewährleistung durch entsprechende IT-Systeme und IT-gestützte Arbeitsprozesse. Die erforderliche interne Abstimmung kann umso effektiver erfolgen, je gezielter sich Organisations- und IT-Abteilungen in die relevanten Abläufe zur Entscheidungsfindung einbringen und sich als mitgestaltendes Bindeglied, Übersetzer und Vermittler im Dreiecksverhältnis von aufsichtsrechtlichen Anforderungen,  Geschäftsbereichen und Geschäftsprozessen und  IT-Abteilungen oder Dienstleistern im eigenen Institut verstehen und etablieren.

Eine weitere wichtige internationale Vorgabe stellt die Richtlinie 239 zur Aggregation und zum Reporting von Risikodaten dar2, welche vom Basler Ausschuss für Bankenaufsicht (BCBS) im Januar 2013 verabschiedet wurde. Sie formuliert, zunächst primär für systemrelevante Kreditinstitute, unter anderem konkrete Erwartungen an das IT-Architektur- und IT-Datenqualitätsmanagement der Institute, damit Risikoinformationen über die gesamte globale systemrelevante Kreditwirtschaft hinweg valide aggregiert und gesteuert werden können.

Alle diese nationalen und internationalen Vorgaben formulieren dabei nicht mehr primär formale Anforderungen an die IT-Entwicklungsprozesse und den operativen Betrieb der IT-Systeme in Kreditinstituten, sondern definieren präzise Anforderungen für die automatische Bereitstellung von validen Kontroll- und Risiko-Informationen in eindeutig definierten Datenformaten aus den IT-Anwendungen. Es ist daher davon auszugehen, dass dies auch eine entsprechende Aufrüstung der IT-Systeme in den Banken nach sich ziehen wird. Die Erfüllung dieser zunehmenden aufsichtsrechtlichen Anforderungen erfordert bei den Kreditinstituten unter anderem entsprechende Fähigkeiten der strategischen IT-Steuerung, eine erweiterbare IT-Architektur, eine wirksame Daten-Governance und eine konsistente IT-Bebauungsplanung sowie Kompetenzen für die konkrete IT-Projektdurchführung, insbesondere auch im Zusammenspiel mit zentralen Branchen-Dienstleistern.

Aufsichtsrechtlichen Anforderungen an die IT in Kreditinstituten gehen längst über die bisher übliche Fokussierung auf Risikobegrenzung und Compliance bei der Entwicklung und beim Betrieb der IT hinaus und reichen heute weit bis in die Funktionalität der IT-Systeme. Es ist daher davon auszugehen, dass diese Anforderungen zukünftig analog zur steigenden unternehmensstrategischen Bedeutung der Informationstechnologie als wesentlicher Erfolgsfaktor des Bankgeschäfts weiter zunehmen.

Gleichzeitig ist festzustellen, dass die Regulationsvorgaben zukünftig nicht mehr bei der Vorgabe von Anforderungen aufhören, sondern auch kontinuierlich die wirksame Umsetzung eingefordert werden. Dazu trägt nicht zuletzt auch das am 25. Juli 2015 in Kraft getretene IT-Sicherheitsgesetz bei, das zusätzliche Anforderungen an die Sicherheit kritischer Infrastrukturen, die eine hohe Bedeutung für das Funktionieren des Gemeinwesens haben, stellt.

Die immer umfassenderen Vorgaben erfordern daher einen einheitlichen Ansatz zur wirksamen Steuerung des Einsatzes von der IT-Strategie und IT-Architektur über eine konsistente Daten-Governance und einem Daten-Qualitätsmanagement bis hin zum ordnungsgemäßen Betrieb und zur Notfallvorsorge.

Kreditinstitute und Finanzdienstleister sind daher zunehmend gefordert, diesen ganzheitlichen Steuerungsansatz zu entwickeln und umzusetzen, der neben der Einhaltung der aufsichtsrechtlichen Anforderungen möglichst auch die Steuerung der Werthaltigkeit des IT-Engagements und die Erreichung des erhofften Wertbeitrags für die Unternehmenszielsetzungen insgesamt unterstützt. Erwartet werden hierbei Qualität, Effizienz, Serviceorientierung, Unterstützung bei Wertsteigerung und die Begrenzung der Risiken. Auch wenn sich heute bereits viele Institute zentraler IT-Dienstleister bedienen, die viele dieser Vorgaben umzusetzen haben, so verbleibt die letzte Verantwortung für diese Aufgaben bei der jeweiligen Geschäftsleitung, also dem Vorstand der Bank. Daher bietet es sich insgesamt an, die Erfüllung der regulatorischen Vorgaben - unter Berücksichtigung des bewährten Proportionalitätsprinzips der MaRisk - in einen generellen prozessualen Ansatz zur IT-Steuerung einzubetten.

 

[2]Basel Standard 239: Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung. Basler Ausschuss für Bankenaufsicht 2013. Online unter: http://www.bis.org/publ/bcbs239.htm

Autor:

Alexander Graf
IT-Governance Experte bei der VÖB-Service GmbH

Weitere Informationen zu Beratungsangeboten und Seminaren zum Thema IT-Governance finden Sie hier:

- IT-Gov Individuelle Beratung
- IT-Gov Selfassessment Web
- "Zertifizierter IT-Governance Manager"