Zur ordnungsgemäßen Geschäftsorganisation eines Instituts gehört auch ein angemessenes und wirksames Risikomanagement, auf dessen Basis das Institut die Risikotragfähigkeit laufend sicherzustellen hat. Auch bei der Auslagerung von Aktivitäten und Prozessen auf ein anderes Unternehmen sind ordnungsgemäße Geschäftsorganisation sowie die Angemessenheit und Wirksamkeit des Risikomanagements durch das Institut zu gewährleisten. Ausgelagerte Aktivitäten und Prozesse sind in beiden Fällen mit einzubeziehen. Insbesondere die Mindestanforderungen an das Risikomanagement (MaRisk) in Verbindung mit den Bankaufsichtlichen Anforderungen an die IT (BAIT) sowie die Anforderungen an Systeme und Kontrollen für den Algorithmushandel von Instituten enthalten Anforderungen an die ordnungsgemäße IT-Organisation und das Risikomanagement von IT-Risiken. Bankaufsichtliche Anforderungen sollen im Dialog mit der Industrie praxisgerecht umgesetzt werden.

Das Fachgremium Informationstechnologie soll daher primär

• strategische Entwicklungen in der Informationstechnologie mit bankgeschäftlicher Relevanz und hieraus potenziell erwachsende operationelle Bedrohungen sowie

• operative Themenkomplexe, u.a. in den Bereichen der IT-Organisation, IT-Prozesse, IT-Systeme und Kontrollverfahren auf der Basis konkreter Sachverhalte diskutieren.

Darüber hinaus bietet das Fachgremium Informationstechnologie eine Plattform zum Informationsaustausch über die Arbeit in internationalen Arbeitsgruppen und mit dem BAK Banken des UP Kritis, zur Erörterung neuer Anforderungen an die Informationstechnologie der Institute sowie zur Erörterung von Auslegungs- und Anwendungsfragen. Dem Fachgremium Informationstechnologie gehören Experten aus Instituten, IT-Dienstleister, Verbandsvertreter, dem BSI und der Aufsicht sowie Vertreter der Wissenschaft an.