Wien. Die FMA prüft 2019 verstärkt die IT-Sicherheit von Banken, Versicherern und Pensionskassen. Berater BDO wirft derweil einen Blick auf die Effizienz.
Österreichs Finanzmarktaufsichtsbehörde FMA hat ihren Leitfaden IT-Sicherheit für Pensionskassen veröffentlicht. Sie weite damit die Aufsichtsstandards für IT- und Cyber-Sicherheit, die sie bereits in anderen Bereichen des Finanzmarkts (Banken, Versicherungen und Wertpapierdienstleister) etabliert hat, auch auf die Unternehmen der betrieblichen Altersvorsorge aus.
Die Unternehmen am österreichischen Finanzmarkt profitieren somit von einheitlichen Rahmenbedingungen für die Digitalisierung ihrer Geschäftsmodelle, wie es heißt. Die FMA verweist auf eine Studie des Internationalen Währungsfonds (IWF) zu IT-und Cyber-Risiken am Finanzmarkt. Demnach entstehen im globalen Finanzsystem durch Cyber-Angriffe jährlich Schäden in der Größenordnung von rund 100 Mrd. US-Dollar.
Die FMA hat das Thema IT-Sicherheit 2018 zu einem ihrer Aufsichts- und Prüfschwerpunkte erklärt und will diesen Schwerpunkt auch im Jahr 2019 beibehalten. Der Fokus werde im neuen Jahr auf der praktischen Umsetzung der Leitfäden liegen.
Zentrales Element des neuen Leitfadens für Pensionskassen ist die Einrichtung eines umfassenden IT-Risikomanagements und eines Informationssicherheitsmanagements. Die Pensionskassen haben dafür eine eigene IT-Strategie zu formulieren und eine IT-Governance einzurichten, die jeweils vom Vorstand zu verantworten sind.
Abhängig von der Größe des Unternehmens und der individuellen Risikosituation könne daneben auch die Einrichtung eines Informationssicherheitsbeauftragten erforderlich sein, der die Integrität und Vertraulichkeit der im Unternehmen verwalteten Daten sicherzustellen hat.
Wann Banken-IT effizient ist
Was macht eine effiziente IT bei Banken aus? Dieser Frage ging das Beratungsunternehmen BDO in einer aktuellen empirischen Bankenstudie nach. Mit 15 bis 20 Prozent machen die IT-Kosten schließlich einen erheblichen Teil der Gesamtkosten einer Bank aus.
Gängige Bankenstudien empfehlen zwar die Kosten, respektive die CIR (Cost to Income Ratio) zu senken, lassen aber meist offen, wie dies geschehen soll, so BDO. Ihre eigene Studie analysiere auf empirischer Basis, was eine effiziente Bank-IT ausmacht.
Im Gegensatz zu anderen Studien, die sich in der Regel auf wenige große Banken fokussieren, wurden in der BDO Studie kleinere und mittlere Banken untersucht, die keinem Sektor angehören, wie es heißt.
Untersucht wurden Faktoren für einen effizienten Bankenbetrieb, darunter das Geschäftsmodell (Privat- vs. Retail-Bank), der stand-alone Eigenbetrieb vs. shared Rechenzentrum und der Einfluss der Komplexität des Geschäfts sowie Skaleneffekte auf die Betriebseffizienz.
Folgendes ist dabei laut BDO herausgekommen:
- Der Anteil der IT-Kosten ist bei Privatbanken ähnlich hoch wie bei Retail-Banken.
- Die Produktivitä pro Mitarbeiter & Ertragsstärke pro Mitarbeiter sind bei Privatbanken höher als bei Retail-Banken.
- Skalierungseffekte sind bei den Personalkosten und IT-Kosten sichtbar: Banken mit einer höheren Kundenanzahl „produzieren“ mit geringeren IT-Kosten und geringeren Personalkosten.
Ein anderes Bild zeige sich bei Sourcing-Strategie und Komplexität:
- Banken mit hoher Komplexität haben niedrigere IT-Kosten als Banken mit geringerer Komplexität.
- Die Sourcing-Strategie habe einen vernachlässigbaren Einfluss auf die Cost to Income Ratio (CIR).
- Die Bankkomplexität hat einen vernachlässigbaren Einfluss auf die CIR.
- Die IT-Governance & Einbettung der IT in die Geschäftslandschaft der Bank ist entscheidend.
Die Schlußfolgerungen
Die Auswahl des Bankensystems, des Betreibermodells der IT und der Banksysteme hat einen wesentlich geringeren Einfluss auf die Effizienz der Bank, als bisher angenommen, so die Studienautoren Michael Preissl und Bernhard Schäbinger. Wesentlich bedeutsamer sei die Art der IT-Governance und die Einbettung der IT in die Geschäftsbereiche der Bank.
