Institutional Money, Ausgabe 2 | 2019

D ass die staatliche Förderbank KfW im September 2008 „irrtümlich“ 300 Millionen US-Dollar in die da schon insolvente Investmentbank Lehman Bro- thers überwiesen hat, könnte man mit etwas Wohlwollen auch unter „Fehler passieren“ einordnen. Dass dieselbe Bank im März 2017 aufgrund von Softwarefehlern neuer- lich Fehlüberweisungen im Wert von meh- reren Milliarden Euro durchführte, sagt jedoch etwas über ihre diesbezügliche Lern- kurve aus. Die Fehler wurden gefunden und die Transaktionen rückabgewickelt. Die Bank für Wiederaufbau ist auch keineswegs das einzige Geldinstitut, dem „Irrtümer“ dieser Art widerfahren sind – und dabei kann man davon ausgehen, dass die meisten derartigen Missgeschicke gar nie an die Öffentlichkeit dringen. Die bekannten Fälle machen aber verständlich, warum sich auch Gesetzgeber und Finanzmarktauf- sichtsbehörden mit der Informations- technologie von Finanzdienstleis- tungsunternehmen beschäftigen müs- sen. Die entsprechenden Regelungen für Banken wurden in der Basler Richtlinie „BCBS 239“ festgehalten, für die Versicherungsunternehmen trat die „Delegierte Verordnung (EU) 2015/35“ der EU-Kommission in Kraft. Weil die überregionalen Vor- schriften aber sehr allgemein gehal- ten waren, wurden sie von den ein- zelnen EU-Ländern mehr oder min- der stark konkretisiert – in Deutsch- land etwa durch die MaRisk 2016 und deren neuen Abschnitt AT 4.3.4 (für Banken). Für Versicherungen wurden das VAG beziehungsweise die Mindestanforderungen an die Geschäftsorganisation von Versiche- rungsunternehmen (MaGo) entwor- fen. Später wurde die BaFin noch konkreter und setzte Anfang Juli 2018 das Rundschreiben „Versiche- rungsaufsichtliche Anforderungen an die IT (VAIT)“ ab, an deren Umsetzung die Versi- cherungsbranche bis heute arbeitet. Dieses Rundschreiben richtet sich an alle Versiche- rungsunternehmen, Sterbekassen, Pensions- kassen sowie Pensionsfonds. Da es sich bei VAIT nur um die Auslegung bestehender gesetzlicher Regelungen hinsichtlich der IT- Organisation handelte, sind die darin for- mulierten Anforderungen unmittelbar nach Veröffentlichung verpflichtend umzusetzen, allerdings gibt es dabei Spielräume, wie Jana Ebner, die als Senior Consultant beim Frankfurter Beratungshaus TME AG tätig ist, erläutert: „Grundsätzlich stellen die VAIT eine Konkretisierung bereits beste- hender Vorschriften aus dem VAG bezie- hungsweise aus den Mindestanforderungen an die Geschäftsorganisation von Versiche- rungsunternehmen (MaGo) hinsichtlich IT dar. Dennoch handelt es sich sowohl bei den BAIT als auch bei den VAIT um ein prinzipienbasiertes, qualitatives Aufsichts- recht, sodass die exakte Umsetzung von Haus zu Haus unterschiedlich sein kann.“ Schwierige Ausgangslage „Unterschiedlichkeit“ und „Uneinheit- lichkeit“ sind Reizwörter, wenn es um die Informationstechnologie von Banken und Versicherungen geht. Genau hier sehen da- mit vertraute Spezialisten wie Felix Diem, Managing Director des IT-Dienstleisters FinAPU GmbH in Wien, ebenso den Aus- löser für die Notwendigkeit einer Erneue- rung wie auch das größte Problem bei der Umsetzung: „Aus meiner Erfahrung ist eine umfassende Betrachtungsweise notwendig, da viele IT-Systeme ineinandergreifen und Insellösungen mittelfristig nachteilig sind. Das heißt nicht, dass nicht verschiedene Die betriebswirtschaftliche Notwendigkeit der IT-Erneuerung wird jetzt regulatorisch forciert – zuerst bei den Banken und aktuell durch die „Versicherungsaufsichtlichen Anforderungen an die IT“ (VAIT) bei den Versicherungsunternehmen. Schärfung des IT-Risikobewusstseins durch die VAIT Die Anpassung der IT-Systeme betrifft alle Bereiche: den operativen, die Unternehmenssteuerung und die Governance. Bei der Umsetzung der jeweiligen IT-Richtlinien kamen offenbar viele Detailfragen auf. Daher legt die BaFin für die einzelnen Gruppen (Banken, Versicherungen, Kapitalverwaltungsgesellschaften) durch Rundschreiben präzise Umsetzungsregelungen fest. Quelle: BaFin Steuerung Governance IT-RISIKOBEWUSSTSEIN Operativ 1. IT-Strategie 2. IT-Governance 3. Informations- risikomanagement 4. Informations- sicherheitsmanagement 5. Benutzer- berechtigungs- management 6. IT -Projekte und Anwendungs- entwicklung 7. IT-Betrieb (inkl. Daten- sicherung) 8. Ausgliederungen von IT -Dienstleistungen und sonstige Dienst- leistungsbeziehungen im Bereich IT-Dienstleistungen V FOTO : © NOMAD _ SOU L | S TOCK . ADOB E . COM Upgrade per Verordnung 264 N o. 2/2019 | www.institutional-money.com S T E U E R & R E C H T : I T- R EGUL ATOR I K