Was ist bei der Umsetzung von AT 9, BAIT und BCBS 239 zu erwarten? Welche Risiken können hier auftreten?
Es besteht hier das Risiko, dass die neuen Anforderungen nicht in adäquater Qualität oder nicht im vorgegebenen Zeitrahmen umgesetzt werden können. Dies kann abhängig vom Ausmaß neben Prüfungsfeststellungen entsprechender Prüfer auch wirtschaftliche Konsequenzen haben wie Verluste durch Fehleinschätzungen aufgrund von fehlerhaften Risikodaten (und damit verbundenen falschen Steuerungsmaßnahmen) oder durch mangelnde Qualität der Leistung im Rahmen der Auslagerung.
Gleiches gilt auch für die 20-seitigen bankaufsichtlichen Anforderungen an die IT (BAIT) vom November 2017. Diese sind zwar kein offizieller Bestandteil der MaRisk, ergänzen diese jedoch hinsichtlich der IT-Anforderungen. So werden in den BAIT einige MaRisk-Anforderungen, insbesondere hinsichtlich der IT-Strategie und zu IT-Auslagerungen, konkretisiert und die Erwartungen der Aufsicht in weiteren wichtigen Kernbereichen der IT wie dem Informationssicherheits- und Benutzerberechtigungsmanagement neu geregelt. Obwohl es für die BAIT keine Umsetzungsfrist gibt, weil die BaFin nur von einer Konkretisierung ihrer Erwartungen spricht, sollten analog zu den MaRisk-Neuerungen auch die BAIT intensiv auf Defizite und Umsetzungserfordernisse analysiert werden.
Prof. Dr. Wohlert erwartet, dass nicht nur die neuen Anforderungen der MaRisk, sondern auch der BAIT zukünftig intensiven Prüfungen der Bankenaufsicht unterliegen werden.