В ноябре 2017 года вступили в силу разработанные Федеральным управлением финансового надзора Германии (BaFin) Требования банковского надзора в сфере IT (BAIT)1. В мае 2018 года схожие требования опубликовало Управление по делам финансового рынка Австрии (FMA)2. А Европейский центральный банк (ECB) планирует разработать на основе BAIT единые для всех стран Еврозоны требования3. Банки поддержали внедрение обновленных требований, но не прикладывают достаточно усилий для их внедрения. Проанализируем, почему так происходит

Формальное соответствие требованиям

Требования BAIT разделены на восемь групп и затрагивают разные уровни IT-системы банка — от IT-стратегии до IT-процессов (структура требований представлена на рис. 1).

 

Рисунок 1. Требования BAIT, а также оценка критичности и необходимости их внедрения



BAIT отличается от действующей пятой редакции Минимальных требований к управлению рисками (MaRisk)4 и вносит изменения в части систем управления IT-рисками, особенно в области контроля (необходимые меры для отдельных групп требований показаны на рис. 2).

 

Рисунок 2. Необходимые меры для отдельных групп требований



Банки, хоть и декларируют свою приверженность новым требованиям, однако, по нашим наблюдениям, прикладывают недостаточные усилия для их внедрения. В большинстве случаев они лишь устраняют очевидные недочеты для формального соответствия требованиям. Возможно, это связано с тем, что BAIT не содержит новых требований, а лишь уточняет действующие...