Auch ohne einen Abschluss in einer der Wirtschaftslehren (vulgo “Lehren der Knappheit”) ist inhärent klar, dass Institute den Einsatz ihrer begrenzten Ressourcen genau steuern müssen. Gerade die Jahre 2020 und 2021 mit den besonderen Herausforderungen durch die weltweite Pandemie stellt Finanzinstitute vor die Frage, ob ausstehende Investitionen in der IT-Organisation, zum Beispiel im Bereich der Informationssicherheit, noch weiter in die Zukunft geschoben werden können.
Eine eher unscheinbare Anpassung im Kapitel 2 IT-Governance der konsultierten BAIT-Fassung (Oktober 2020) weist deutlich darauf hin, dass die Angemessenheit der Ressourcenausstattung für Betrieb und Weiterentwicklung der IT für die BaFin keine Nebensache darstellt. Die zentrale Änderung mit erheblichen Auswirkungen auf viele Institute stellt die in Tz. 2.5. hinzugekommene Ergänzung dar. Die Zuständigkeit für die Festlegung und Überwachung von Erfolgskriterien der IT-Governance wird hier in der Führungsebene und nicht etwa in der IT-Organisation lokalisiert. Dies deckt sich mit den stetigen Weiterentwicklungen des Themas IT-Governance und war auch einer der Treiber hinter der aktuellen Version 2019 des COBIT-Frameworks. IT findet heute im gesamten Institut statt, weshalb eine Beschränkung der IT-Governance auf die IT-Organisation nicht mehr zeitgemäß ist.
Für die Zukunft wird es daher noch wichtiger, dass die IT-Organisation auf Führungsebene der Institution verankert und in der Lage ist, institutionsweite IT-Standards entsprechend einer umfassenden Governance zu gestalten. Die Erbringung der für die Erfüllung dieser Standards nötigen Aufwände kann daher nicht länger allein bei der IT-Organisation liegen, sondern muss ebenfalls für die ganze Institution abgestimmt sein.
Die von der BaFin im Rahmen der Konsultation eingefügte Ergänzung, dass die Erfüllung der Kriterien zu überwachen ist, stellt unter anderem Banken ohne datenfokussierte Information-Governance vor Herausforderungen. Oftmals existiert kein zum Managementsystem kompatibles Reporting von IT-Governance-Kriterien. Dabei ist gerade die IT-Organisation – als grundlegend digitaler Geschäftsbereich – im Besitz aller notwendigen Daten für ein aufwandsneutrales Messwesen für die Kriterien, das gleichzeitig als Basis von Managemententscheidungen dienen kann.
Wie ADVISORI Ihnen hilft
In erfolgreichen Projekten bei BAIT-regulierten Instituten, konnte ADVISORI bereits wiederholt zeigen, dass durch die Verzahnung von IT und Business Intelligence im Rahmen einer datenfokussierten Informationssicherheit eine erhebliche Steigerung der IT-Governance-Effektivität ermöglicht wird.
Über den Autor:
Oliver Knapp ist seit mehr als 15 Jahren aktiv in der Gestaltung und Weiterentwicklung von Cyber- und Informationssicherheit. Als Teamleiter des Teams Data-Centric Security entwickelt er gemeinsam mit seinen Kollegen bei ADVISORI innovative Lösungen für den Schutz von Unternehmensdaten und für sichere Digitalisierung. In seinen Projekten unterstützt er unsere Kunden dabei, ihre Informationssicherheit technisch und organisatorisch entscheidend voranzubringen.
Erfahren Sie mehr zur Konsultion der BAIT in unserer Artikelserie.
