Bankenregulierung

Jetzt Termin zur Demo vereinbaren

Regulatorische Compliance mit TopEase®

MaRisk, BAIT, PSD2, MiFid, Basel IV, CRD I, CRR II - what's next?

Der europäische Bankensektor ist einer der am stärksten regulierten Sektoren im europäischen Wirtschaftsraum. Das Konzept beruht auf einer risikoorientierten Aufsicht, welche sich analog der wirtschaftlichen Veränderungen in einem stetigen Wandel befindet. Die fortschreitende Digitalisierung findet insbesondere auch Einzug in Banking-Geschäftsmodelle, wie z.B. dem Trend zu Microfinancing und Micro-Loans, oder dem ausgeben und handeln von  Krypotwährungen. Neben komplexeren und digitalen Produkten stehen neue Risiken insbesondere im Bereich Cybersecurity, aber auch geopolitische Risiken und generell regulatorische Risiken aus sich veränderten lokalen Gesetzgebung gegenüber. 

Wir begleiten unsere Kunden ganzheitlich im regulatorischen Prozess – von der Analyse der Anwendbarkeit der Regulierung, über die Definition von Maßnahmen und Implementierung der Regulatorik. Wir analysieren dabei die Auswirkungen auf das Geschäftsmodell unserer Kunden, und unterstützen dieses im Hinblick auf technologische Trends und den Wettbewerb regulatorische sicher aufzustellen. 

KRYPTOWÄHRUNGEN

In der 6. Novelle der MaRisk sind somit erstmalig Kryptoanbieter explizit in dem Anwenderkreis der MaRisk genannt. Wir gehen insbesondere im Bereich der Kryptowährung von erheblichem regulatorischen Nachholbedarf aus, da z.B. Krypto-Lending derzeit keine Bankenlizenz bedarf und nicht unter der Kreditwesenaufsicht stattfindet. Für etablierte Banken und Payment-Anbieter ergeben sich insbesondere durch Zusammenarbeit mit digitalen Serviceanbietern erhebliche Chancen im Bereich der Kryptowährungen, auch aus regulatorischen Sicht können deutliche Vorteile gegenüber Krypto-Startups erzielt werden, da die gesamte regulatorische Infrastruktur bei Banken bereits vorhanden ist, während digitale Wettbewerber diese erst aufbauen müssen. Dies resultiert nicht nur in Geschwindigkeits- sondern auch in erheblichen Kostenvorteilen. 

CYBERSECURITY & CYBER RESILIENCE

Cybersecurity ist längst mehr als reine Governance im Bereich IT Security. Im Bereich der Cybersecurity werden insbesondere verstärkt Mechanismen für die Aufdeckung von Attacken und Schwachstellen, Bewertung der Cyber-Risiken, Implementierung und Wirksamkeitstest von Schutzkonzepten gefordert. Neben der aktiven und passiven Gefahrenabwehr sehen wir die ganzheitliche Cyber Resilienz im Fokus der Aufsichtsbehörden: Krisenreaktionspläne, Notfallvorsorge und Business-Continuity Management werden aus unserer Sicht zukünftig stärker szenariobezogen ausgerichtet werden müssen, was insbesondere der neuen Bedrohungslage und der Cloudifizierung der IT-Infrastruktur Rechnung trägt. Die Ermittlung der schützenswerte Informationen und Informationsflüsse über komplexe Prozess- und Asset- und Infrastrukturarchitekturen sind wesentliche Kosten- und Aufwandstreiber bei der Umsetzung der Regulatorik. Wir setzen daher mit unseren Kunden auf ein ganzheitliches Regulatorikmanagement, unter Einbeziehung des Risiko-, Prozess-, Asset- und ISMS-Managements. Schnellere Reaktionszeiten durch automatische Aggregation und Vernetzung von Informationen, 100%-ige Nachvollziehbarkeit der Umsetzung von regulatorischen Vorgaben und Maßnahmen, sowie Echtzeit-Reportings über Dashboards sind einige der wesentlichen Vorteile der TopEase Plattform im Bereich Cybersecurity und Cyber Resilience.

Umsetzung von regulatorischen Vorgaben mit TopEase®

Bewertung der Auswirkung sowie Chancen & Risiken von neuen Richtlinien und Verordnungen, Aufstellen eines Umsetzungsplanes, Tracking der Umsetzung

No Data Found

Scorecard für schnelle Ist-Soll Vergleiche der aktuellen Regulatorik-Umsetzung

Einfache Ergänzung der Standard Dimensionen

No Data Found

Anhand identifizierter GAPs Maßnahmen einstellen und verfolgen

Vollständige Maßnahmenplanung zur Umsetzung der BAIT und MaRisk, einfache Planung durch interaktive Gantt-Charts 

AT 4 - Risikomanagement 50%
AT 5 - Organisationsrichtlinien 90%
AT 7.3 - Notfallkonzept 36%
AT 9 - Auslagerung 29%
Umsetzungsstatus einfach erkennen

Individuelle Fortschrittsdarstellungen und Customizing möglich

Übersichtliches Dashboard

Alle wesentlichen Informationen und Grafiken auf einen Blick

Wesentliche Vorteile von TopEase®

1

Schnelles Erkennen von Veränderungen und Handlungsbedarfen durch GAP-Logik

Mit dem GAP-Finder werden Standard-Fragenkataloge Analysen durchgeführt in welchen der Ist-Status der Regulatorik-Umsetzung mit dem Soll-Status abgeglichen wird. Die Abweichungen („Gap’s“) können dann in Maßnahmen überführt werden. 

2

Transparenz über Ist- und Soll-Zustand

Der GAP-Finder bietet mit der GAP-Scorecard eine mehrdimensionale Darstellung des Ist-Zustandes sowie des Soll-Zustandes. So können verantwortliche Risikomanager, Compliancebeauftragte oder andere Beteiligten schnell Handlungsbedarfe erkennen.

3

Identifikation von Maßnahmen und Planung der Umsetzung pro Gap

Pro identifiziertem Gap können eine oder mehrere Maßnahmen definiert und Verantwortlichen in der Organisation zugewiesen werden. Die Planung kann einfach über ein interaktives Gantt-Chart erfolgen. 

4

Kosteneffizient: Digitalisierte Gesetze und Vorgaben senken internen Aufwand

Der GAP-Finder kommt einsatzbereit – die BAIT sowie die MaRisk sind bereits als digitaler Katalog eingestellt. Regelmäßige Updates der Kataloge stellen die Aktualität der Vorgaben sicher und verringern den Arbeitsaufwand in den Instituten.

5

Schneller einsatzfähig durch vorkonfigurierte Standardsoftware

Wir können eine vorkonfigurierte Standardinstallation innerhalb von 30 Minuten auf der Cloud bereitstellen. Daneben verfügen wir über die Möglichkeit on-premise Installationen in den Instituten durchzuführen. Der Gap-Finder ist auch in bestehende TopEase Installationen integrierbar.

Aktuelle Situation BAIT und MaRisk 2021 als Umsetzung der EBA ICT Guidelines 2019

Aktueller Stand: Januar 2022.

2017
09/2017
Rundschreiben MaRisk
Mindestanforderungen an das Risikomanagement

Novellierung der MaRisk als Auspräzisierung des §25a Abs. 3 KWG (Risikomanagement auf Gruppenebene) sowie des §25b KWG (Auslagerung). Zusätzlich Definition qualitativer Rahmen zur Umsetzung des Risikomanagements in Instituten.

10/2017
Rundschreiben BAIT
Anforderungen an die IT von Banken

Einführung der bankaufsichtlichen Anforderungen an die IT (BAIT). Diese ergänzt die vorgestellte MaRisk und erläutert die technisch-organisatorischen Ausstattungen der notwendigen IT Systeme, und interpretiert so die gesetzliche Grundlage des §25a Absatz 1 KWG. Schwerpunkt der  BAIT sind u.a. analog der MaRisk (AT9) Auslagerungen und das Management der damit verbundenen Risiken.

2019
11/2019
EBA Guidelines ICT & security risk management
EBA-Leitlinien für das Management von IKT- und Sicherheitsrisiken

Veröffentlichung der Leitlinien der European Banking Authority zum Management von IKT und Sicherheitsrisiken zur nationalen Umsetzung, und sollen ab Juni 2020 Anwendung finden. Schwerpunkte u.a. in Governance, Informationssicherheit und dem Management des Betriebs.

2020
10/2020
Konsultation Entwurf BAIT Neufassung
Konsultation zur Neufassung derBankaufsichtlichen Anforderungen an die IT (BAIT)

Veröffentlichung des Entwurfs der BAIT vom 26.10.2020 zur Konsultation bis zum 23.11.2020. Ergänzungen finden sich u.a. in dem Bereich der operativen Informationssicherheit. 

10/2020
Konsultation Entwurf MaRisk Neufassung
Konsultation zur Neufassung der Mindestanforderungen an das Risikomanagement

Veröffentlichung des Entwurfs der MaRisk vom 26.10.2020 zur Konsultation bis zum 04.12.2020. Ausdetaillierung u.a. AT 2.1 (NLP), AT 4, insb. Beurteilung operatives Geschäftsumfeld & ext. Bedingungen, AT 9 (Auslagerungen).

2021
08 / 2021
Veröffentlichung MaRisk Novelle
MaRisk Novelle

Neben der Ausweitung des Anwenderkreises (neu: u.a. Kryptoanbieter) wurde insbesondere AT 7.3 (Notfallmanagement) ausdefiniert. Wesentliche Änderungen sind die regelmäßige und anlassbezogene Prüfung des Konzeptes, sowie die festgelegten Mindestumfänge (Auswirkungsanalyse, Risikoanalysen, etc.).

08 / 2021
Veröffentlichung BAIT Novelle
BAIT Novelle

In derm am 16.08.2021 veröffentlichten Novelle der BAIT wurden insbesondere die Regeln für die Durchführung der Informationssicherheit und die Notfallplanung / des Kontinuitätsmanagements angepasst. Neu hinzugekommen sind u.a. die Vorgaben der operativen Informationssicherheit.

2022
01.08.2022
Sub Label
Aufnahme der Klima- und Umweltrisiken in die EU Vorgaben / Umsetzung EU Taxonomie

Durch die Setzung der bankenaufsichtsrechtlichen Prüfungsschwerpunkte der EU für 2022-2024 wurde bereits das Thema Klima- und Umweltrisiken priorisiert. Die Vorgaben der nationalen Umsetzung für die Kreditinstitute sind derzeit noch unklar.

"KWG 44" - Sonderprüfung

"... Die Bundesanstalt kann, auch ohne besonderen Anlass, bei den Instituten und übergeordneten Unternehmen Prüfungen vornehmen ..."

Fas 85% der Sonderprüfungen der BaFin entfiel in 2018 auf §25a Abs. 1 KWG Prüfungen (MaRisk), die sogenannten ’44er Prüfungen‘. In absoluter Anzahl wurden die meisten Prüfungen im Bereich des Genossenschaftssektors durchgeführt, die prozentuale Prüfungsquote ist im Sektor der Kreditbanken und Sparkassen jedoch deutlich höher als im Bereich der Genossenschaftsbanken. In Summe wurden über 30% der Institute in der Risikomatrix mit einer Qualität von 3 (orange) oder 4 (rot) eingeordnet. (Datenbasis: Handout zur Jahrespressekonferenz 2019 der BaFin)

Im Rahmen der Novelle des MaRisk sowie der BAIT bestehen somit neue Risiken für Institute durch Sonderprüfungen, falls die Novellen nicht zeitnah umgesetzt werden. 

Insights

Bankenregulierung

Limitation von BPMN 2.0 Modellen im regulierten Umfeld

Limitation von BPMN 2.0 im regulierten Umfeld Unternehmen setzen zunehmen auf BPMN 2.0 als Grundlage für die Dokumentation Ihrer Prozesslandschaft. BPMN 2.0 zeichnet sich durch eine einheitliche Spezifikation und somit eine universelle Lesbarkeit der Prozessmodelle aus. In diesem Artikel möchten wir daher die Frage erörtern, ob die Spezifikation auch im hochregulierten Umfeld Gültigkeit besitzt oder die Art der Modellierung aufgrund

Weiterlesen »
Outsourcing

Auslagerungsprozess in 5 Schritten einfach umsetzen

Effizienzen durch Outsourcing heben. Auslagerungen regelkonform umsetzen. Im Rahmen der Neufassung der MaRisk (Rundschreiben 10/2021) wurden auch die aufsichtsrechtlichen Anforderungen an Auslagerungen überarbeitet. Im folgenden Beitrag werden die wesentlichen Elemente welche aufsichtsrechtlich gefordert sind aufgeführt, und mittels praktischer Anwendungsbeispiele eine mögliche Umsetzung dargestellt. Europaweite Regelung der Vorgaben für Auslagerungen im Bankenbereich Europaweit wurden die Vorgaben zum Umgang mit Auslagerungen bereits

Weiterlesen »
ISO 14971 Risikomanagement Medizinprodukte

Risikomanagement – die wichtigsten Begriffe

Risikomanagement – die wichtigsten Begriffe & FAQs Der Artikel gibt einen kurzen Überblick über die Notwendigkeit von Risikomanagement in Unternehmen, warum man Risikomanagement einsetzt, wie das Risikomanagement organisatorisch verankert ist und die notwendigen Begriffe. Der Artikel eignet sich sowohl für interessierte im Bereich des Risikomanagements oder zur Vertiefung von spezifischen Begrifflichkeiten. Der Artikel wird bei Bedarf fortlaufend aktualisiert. 1. FAQs

Weiterlesen »
KWG 44
Compliance

KWG 44er Prüfung / Sonderprüfung nach KWG §44

KWG 44er Prüfung / Sonderprüfung nach KWG §44 Rechtlicher Hintergrund der 44er Prüfung Die sogenannte KWG 44er Prüfung findet Ihre rechtliche Begründung im §44 des Kreditwesengesetzes (KWG). Dieses gibt der Bankenaufsicht, welche in Deutschland durch die BaFin ausgeübt wird, folgendes Recht: Die Bundesanstalt kann, auch ohne besonderen Anlass, bei den Instituten und übergeordneten Unternehmen Prüfungen vornehmen und die Durchführung der

Weiterlesen »
BAIT

Effizienz statt Excel – Automatisierung in der Informationssicherheit

Effizienz statt Excel – Automatisierung in der Informationssicherheit Zeitgemäße Cybersicherheit erfordert automatisierte und integrierte Managementsysteme Im Bereich Cybersecurity, in der Informationssicherheit / IT Sicherheit, oder auch im IT Grundschutz ist oftmals Excel das Tool der Wahl – allgemein benutzbar und Richtlinien wie die ISO 27001 Anhang A lassen sich schnell darstellen. Doch ist in Zeiten von komplexen und sich schnell

Weiterlesen »
MaRisk

Handlungsbedarfe BAIT Novelle 2020

BAIT Novelle 2020 Überblick und Interpretation der möglichen Handlungsbedarfe Aktueller Stand Die Einführung der bankaufsichtlichen Anforderungen an die IT (BAIT) konkretisiert die Anforderungen an die IT, insbesondere die Umsetzung der MaRisk. Die BAIT ergänzt somit die MaRisk als Operationalisierung des §25 KWG, sowie die Umsetzung der Vorgaben der European Banking Authority (EBA). Die Guidelines on ICT and security risk management

Weiterlesen »