Aufrufe
vor 5 Jahren

die bank 07 // 2018

die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

REGULIERUNG Die MaRisk

REGULIERUNG Die MaRisk sehen drei Ausnahmen von diesem Grundsatz: 1. Software ist eingesetzt für die Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation von Risiken. 2. Software hat wesentliche Bedeutung für die Durchführung von Bankgeschäften. 3. Software wird von einem Dritten betrieben. In diesen drei Fällen handelt es sich nicht um den sonstigen Fremdbezug von Leistungen. Im Folgenden müsste gem. AT 9 Tz. 2 ff. untersucht werden, ob die Aktivitäten und Prozesse auslagerbar sind, ob es sich um eine wesentliche Auslagerung handelt und die spezifischen Anforderungen an die Inhalte des Auslagerungsvertrags gem. AT 9 Tz. 7 gelten. Beim Einsatz von RPA in den Abläufen im Bereich Risikomanagement ist demnach insbesondere fraglich, ob die Ausnahme (1) einschlägig ist, wenn RPA als Software eingesetzt wird, um Risiken zu identifizieren, zu beurteilen, zu steuern, zu überwachen oder zu kommunizieren. Bei den von der RPA-Software tatsächlich übernommenen Tätigkeiten handelt es sich um folgende einfache, regelbasierte Aktivitäten, die bislang Mitarbeiter manuell erledigt haben, wie das Kopieren und Einfügen von Informationen, das Verschieben von Dokumenten & File-Ordnerpflege, das Lesen und Schreiben in Datenbanken, den Abzug von Daten aus dem Internet, die Extraktion strukturierter Daten aus einem Dokument, das Sammeln von Social-Media-Statistiken oder das Befolgen einfacher „Wenn – dann“-Regeln. Der Tatbestand Ausnahme (1) ist unseres Erachtens bei der beschriebenen RPA-Software nicht erfüllt, weil sie nur „eingesetzt“ wird, um isolierte, zuvor festgelegte „einfache“ Tätigkeiten zu übernehmen, die bislang von Mitarbeitern erbracht wurden. Diese haben einen unterstützenden Charakter und reduzieren zudem vielfach Fehlerpotenziale in der Datenaufbereitung. Es handelt sich vor diesem Hintergrund nicht um die Übernahme von Risikomanagement-Aufgaben. Die hier beschriebenen Tätigkeiten der RPA-Software sind somit unserer Einschätzung nach als „sonstiger Fremdbezug“ zu qualifizieren. Die spezifischen Anforderungen an ausgelagerte Aktivitäten und Prozesse gem. § 25b KWG i.V.m. MaRisk AT 9 sind nicht erfüllt. Die allgemeinen Vorschriften zur Ordnungsmäßigkeit der Geschäftsorganisation gem. § 25a KWG sind zu beachten. Sonstige relevante Anforderungen der MaRisk Neben der Untersuchung, ob ein Auslagerungstatbestand vorliegt, sind unseres Erachtens noch eine Reihe weiterer Aspekte bei der Nutzung von RPA zu beachten, wie beispielsweise: Z Informationssicherheitsmanagement (insb. AT 7.2, BT 3.2): Einflüsse auf die bestehende Ablauf- und Aufbauorganisation durch den Einsatz von RPA sind durch 48 07 // 2018

REGULIERUNG Z Einbeziehung der relevanten Mitbestimmungsgremien sowie ggf. durch Anpassung von bestehenden Anforderungs- und Change-Management-Verfahren zu regeln. Benutzerberechtigungsmanagement (insb. AT 4.3.1, AT 7.2): Angemessene Authentifizierungsverfahren, Richtlinien für die Vergabe von Passwörtern, Verschlüsselungen, Protokollierungen etc. sind zu definieren. Funktionstrennungen für die Z Z einzelnen Roboterprozesse sind sicherzustellen. IT-Projekte & Anwendungsentwicklung (insb. AT 7.2, AT 8.3): Es empfiehlt sich ein klar strukturiertes und geregeltes Vorgehen in der Entwicklung, aber auch im Betrieb von RPA Prozessen. Vertraulichkeit, Integrität & Verfügbarkeit der zu verarbeitenden Daten sind ebenfalls zu beachten und zu regeln. IT-Betrieb (insb. AT 7.2): Robotics Software benötigt grundsätzlich Standard- Hardwarekomponenten, die entsprechend der geltenden Verfahren des jeweiligen Instituts konfiguriert und berechtigt werden. Datensicherungen und Ausfallszenarien sind unter Beachtung der Geschäftskritikalität der RPA-Prozesse zu definieren. nach Auslagerung bzw. sonstigem Fremdbezug wird daher prospektiv betrachtet nicht mehr das zentrale Momentum für Aufwände seitens der Banken sein. Gemäß BAIT kommt dem sonstigen Fremdbezug von IT-Dienstleistungen ebenfalls ein nicht unwesentliches Maß an Anforderungen in Bezug auf die Überwachung und Steuerung zu. Unabhängig von der vertraglichen Leistungsbeschreibung sind demnach vor allem die Beurteilung der mit einer RPA-Lösung verbundenen Risiken zu beurteilen. Es ist zu erwarten, dass konkrete Richtlinien die Verbreitung von Artificial-Intelligence-Lösungen zunehmend fördern und die Digitalisierung im Bankensektor weiter voranschreiten wird. FAZIT Wie beschrieben, handelt es sich bei RPA- Software im dargestellten Kontext unserer Meinung nach nicht um einen Auslagerungssachverhalt nach MaRisk AT 9. Aktuell wird RPA am Markt lediglich für einfachere, unterstützende Leistungen genutzt. Durch eine schnelle Implementierung von RPA-Prozessen können in relativ kurzer Zeit Qualität und Produktivität erhöht und Kosten gesenkt werden. Da entsprechende Lösungen bereits vielfach im Bankensektor implementiert sind, wird dies dazu führen, dass sich der Fokus der Aufsichtsbehörden auf diese Lösungen richtet. Erste Vorschläge zur Konkretisierung der Anforderungen an Anbieter und Lösungen wurden bereits von der Europäischen Wertpapier- und Marktaufsichtsbehörde ESMA vorgelegt. 1 Auch die BaFin hat mit der Veröffentlichung der BAIT erstmals auf die Herausforderungen einer digitalisierten Finanzwelt reagiert und den Instituten eine entsprechende Regelung zur Verfügung gestellt. Eine Differenzierung Autoren Nicole Tranker ist Senior Managerin bei Deloitte im Bereich Financial Services Solution. Sie leitet den FSI Robotics & Cognitive Automation Cluster und verantwortet eine Vielzahl an RPA-, Digitalisierungs- und Transformationsprojekten bei Banken und Versicherungen. Lisa Langer ist Senior Managerin bei Deloitte im Bereich Financial Services Solution und ist Expertin für Operational Excellence mit Fokus auf die Optimierung von Aufbau- und Ablauforganisation bei Instituten. Thomas Fredenhagen ist Senior Manager bei Deloitte im Bereich Financial Services Risk Advisory und ist Experte für MaRisk und BAIT mit Fokus auf Auslagerungsmanagement sowie für die Prüfung und Beratung zu IT-Prozessen und IT-gestützten Geschäftsprozessen. 1 „Consultation Paper on draft guidelines on certain aspects of the suitability requirements under the Markets in Financial Instruments Directive (MiFID II)“. 07 // 2018 49

die bank