Aufrufe
vor 1 Jahr

RISIKO MANAGER 04.2018

  • Text
  • Anforderungen
  • Bonds
  • Institute
  • Unternehmen
  • Aufsicht
  • Institut
  • Risiken
  • Marisk
  • Insbesondere
  • Februar
  • Risiko
RISIKO MANAGER ist das führende Medium für alle Experten des Financial Risk Managements in Banken, Sparkassen und Versicherungen. Mit Themen aus den Bereichen Kreditrisiko, Marktrisiko, OpRisk, ERM und Regulierung vermittelt RISIKO MANAGER seinen Lesern hochkarätige Einschätzungen und umfassendes Wissen für fortschrittliches Risikomanagement.

Die Institute werden

Die Institute werden begründen müssen, warum sie welche Standards in welchen Bereichen nutzen und welche Anpassungen sie ggf. vorgenommen haben. Es wird sicherlich auch im Zeitablauf zu klären sein, inwieweit „Verbundstandards“ als „gängige“ Standards anerkannt werden, zumal Zertifizierungen von der Aufsicht in diesem Zusammenhang oftmals kritisch gesehen werden. IT-Strategie Die Anforderungen der BAIT beginnen – analog zu den MaRisk – mit dem Themenbereich „Strategien“. Die Institute haben sicherzustellen, dass ihre IT-Strategie die Anforderungen nach AT 4.2 der MaRisk erfüllt. Wesentliche Anforderung in diesem Zusammenhang ist die Verpflichtung der Geschäftsleitung, eine mit der Geschäftsstrategie konsistente und nachhaltige IT-Strategie festzulegen. Die Geschäftsleitung hat sich mit den strategischen Implikationen der verschiedenen Themenkomplexe der IT für die Geschäftsstrategie regelmäßig auseinanderzusetzen. In der IT-Strategie sind die Ziele sowie die Maßnahmen zur Erreichung dieser Ziele aufzuführen. Die Aufsicht fordert eine institutsinterne Veröffentlichung der Strategieziele im Rahmen einer IT-Strategie, um den Beschäftigten eines Instituts Klarheit über die Bedeutung der IT für die Durchführung der Bankgeschäfte und damit ein erhöhtes IT-Risikobewusstsein zu vermitteln. Tz. 2 konkretisiert die Mindestinhalte einer IT-Strategie. So sollen insbesondere die folgenden Bereiche in der Strategie Berücksichtigung finden: Strategische Entwicklung der IT-Aufbau- und IT-Ablauforganisation des Instituts sowie der Auslagerungen von IT-Dienstleistungen; Zuordnung der gängigen Standards, an denen sich das Institut orientiert, auf die Bereiche der IT sowie Erläuterungen zum avisierten Implementierungsumfang der verwendeten Standards; Zuständigkeiten und Eckpunkte der Informationssicherheitsorganisation ;Strategische Entwicklung der IT-Architektur; Aussagen zum Notfallmanagement unter Berücksichtigung der IT-Belange sowie Aussagen zu den in den Fachbereichen selbst betrie- 20 RISIKO MANAGER 04|2018 benen und entwickelten IT-Systemen bezüglich der Hardware- und Software-Komponenten (IDV). Festzuhalten ist, dass die Aufsicht zwar kein eigenständiges Dokument „IT-Strategie“ fordert, es aber für die Institute zur Berücksichtigung der festgeschriebenen Mindestinhalte als sinnvoll erachtet werden muss. Generell können die Institute strategische Anforderungen an die IT auch in anderen Strategiedokumenten (z. B. Geschäfts- oder Risikostrategie) festlegen. Bei der Formulierung der Inhalte der Strategie gilt, dass die Institute objektiv überprüfbare Kriterien zugrunde legen müssen. Die Deutsche Bundesbank hebt in ihren Prüfungen nach § 44 KWG das Fehlen derartiger objektiv überprüfbarer Kriterien als einen der Hauptkritikpunkte hervor. IT-Governance Die BAIT Tz. 3 definiert die IT-Governance als Struktur zur Steuerung sowie Überwachung des Betriebs und der Weiterentwicklung der IT-Systeme einschließlich der dazugehörigen IT-Prozesse auf Basis der IT-Strategie. Die Aufsicht fordert eine einheitliche, konsistente und funktionsfähige IT-Aufbau- und IT-Ablauforganisation analog zu den bereits bestehenden Regelungen der MaRisk zum Kredit- und Handelsgeschäft. Maßgeblich für die IT-Governance sind dabei insbesondere die Regelungen zur IT-Aufbau- und IT-Ablauforganisation nach AT 4.3.1 MaRisk. Beim Informationsrisiko- sowie Informationssicherheitsmanagement werden AT 4.3.2 MaRisk sowie

Regulierung 21 AT 7.2 Tzn. 2 und 4 MaRisk zugrunde gelegt. Die quantitativ und qualitativ angemessene Personalausstattung der IT bezieht sich auf AT 7.1 MaRisk. Der Umfang und die Qualität der technisch-organisatorischen Ausstattung sind in AT 7.2 Tz. 1 MaRisk begründet. Regelungen für die IT-Aufbau- und IT-Ablauforganisation sind bei Veränderungen der Aktivitäten und Prozesse gemäß AT 5 Tzn. 1 und 2 MaRisk zeitnah anzupassen. Für die wirksame Umsetzung der Regelungen zur IT-Governance institutsintern und gegenüber Dritten ist die Geschäftsleitung verantwortlich (Tz. 4). Das Institut hat sicherzustellen, dass vor allem das Informationsrisikomanagement, das Informationssicherheitsmanagement, der IT-Betrieb und die Anwendungsentwicklung quanti- tativ und qualitativ angemessen mit Personal ausgestattet sind (Tz. 5). Dies beinhaltet natürlich auch Anforderungen an die Personalentwicklung der Fachkräfte. Die Aufsicht verlangt mit diesen Regelungen ein frühzeitiges Erkennen des Risikos einer quantitativen oder qualitativen Unterausstattung dieser Bereiche und erwartet eine möglichst umgehende Behebung eines daraus resultierenden Risikos. Ein Kernelement der IT-Governance ist die Trennung von Funktionen (Tz. 6), um Interessenkonflikte und unvereinbare Tätigkeiten innerhalb der IT-Aufbau- und IT-Ablauforganisation zu vermeiden. So bestehen in der Praxis oftmals Anhaltspunkte für mögliche Interessenkonflikte – aufgrund unzulänglicher aufbauorganisatorischer Trennung – beispielsweise zwischen den Bereichen Anwendungsentwicklung und IT-Betrieb sowie zwischen dem IT-Betrieb und dem IT-Sicherheitsbeauftragten. Aufgabe der Geschäftsleitung ist die Implementierung eines angemessenen Internen Kontrollsystems (IKS) im IT-Bereich (Tz. 7). Das IKS muss angemessene quantitative oder qualitative Kriterien zur Steuerung der für den Betrieb und die Weiterentwicklung der IT-Systeme zuständigen Bereiche bestimmen und deren Einhaltung überwachen. Ein wichtiger Aspekt wird zukünftig sein, wie ein Institut diese Größen misst und bewertet und seine getroffenen Entscheidungen begründet und dokumentiert hat. Verwiesen wird darauf, dass in den Bundesbank-Prüfungen parallele Interviews durchgeführt werden, bei denen einerseits ein Prozess und andererseits die Rolle der verschiedenen Funktionen (IT, Personal und Risikomanagement) unter Risikoaspekten bewertet werden. Ziel der Prüfer ist es, zu erkennen, ob dieser Prozess tatsächlich so gelebt wird (IST), und wie er in den Arbeitsanweisungen dokumentiert ist (SOLL). Die Aufsicht fordert damit indirekt die Konsistenz zwischen Geschäfts- und untergeordneten Strategien (wie IT-Strategie und Personalstrategie). Die Ausführungen der BAIT zur IT-Governance enthalten im Wesentlichen keine neuen Anforderungen für die Institute, sondern „nur“ Anforderungen aus den MaRisk. Die MaRisk-Regelungen wurden auf den IT-Bereich übertragen und werden nunmehr in den BAIT klar und deutlich aufgeführt. Die wohl größte Anforderung dürfte die Festlegung der Kriterien für ein angemessenes IKS im IT-Bereich sein. Informationsrisikomanagement Da die Informationsverarbeitung und -weitergabe in Geschäfts- und Serviceprozessen des Finanzsektors durch datenverarbeitende IT-Systeme und zugehörige IT-Prozesse unterstützt wird, kommt dem Informationsrisikomanagement bei einem Institut besondere Bedeutung zu. Auch im dritten Abschnitt der BAIT werden wichtige Themenbereiche aus den MaRisk adressiert. Der Umfang und die Qualität der IT-Systeme und der zugehörigen IT-Prozesse hat sich – basierend auf AT 7.2 Tz. 1 MaRisk – insbesondere an betriebsinternen Erfordernissen, den Geschäftsaktivitäten sowie an der Risikosituation zu orientieren (Tz. 8). Weiterhin müssen die IT-Systeme und die zugehörigen IT-Prozesse nach AT 7.2 Tz. 2 MaRisk die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten gewährleisten. Das Institut muss – gemäß AT 4.3.1 Tz. 2 MaRisk – die mit dem Management der Informationsrisiken verbundenen Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen und Kommunikationswege festlegen und aufeinander abstimmen. Während im Entwurf der BAIT noch auf die Informationsrisiken als Teil der operationellen Risiken abgestellt wurde, ist in der finalen Fassung die Fokussierung nicht nur auf operationelle Risiken gerichtet, sondern auf alle (IT-)Risiken. Das Institut muss sicherstellen, dass auch Risiken, die momentan nicht als operationelle Risiken berücksichtigt sind, rechtzeitig erkannt werden und in das Risikomanagement einfließen, falls sie zukünftig operationelle Risiken sein werden. Weiterhin muss das Institut zur Erfassung der Informationsrisiken nach AT 7.2 Tz. 4 MaRisk angemessene Überwachungs- und Steuerungsprozesse vorhalten und entsprechende Berichtspflichten nach BT 3.2. Tz. 1 MaRisk definieren. Es ist darauf hinzuweisen, dass schon im BAIT-Entwurf die Be-

RISIKO MANAGER

RISIKO MANAGER 01.2019
RISIKO MANAGER 02.2019
RISIKO MANAGER 03.2019
RISIKOMANAGER_04.2019
RISIKO MANAGER 05.2019
RISIKO MANAGER 06.2019
RISIKO MANAGER_07.2019
RISIKO MANAGER 08.2019
RISIKO MANAGER 01.2018
RISIKO MANAGER 02.2018
RISIKO MANAGER 03.2018
RISIKO MANAGER 04.2018
RISIKO MANAGER 05.2018
RISIKO MANAGER 06.2018
RISIKO MANAGER 07.2018
RISIKO MANAGER 08.2018
RISIKO MANAGER 09.2018
RISIKO MANAGER 10.2018
RISIKO MANAGER 01.2017
RISIKO MANAGER 02.2017
RISIKO MANAGER 03.2017
RISIKO MANAGER 04.2017
RISIKO MANAGER 05.2017
RISIKO MANAGER 06.2017
RISIKO MANAGER 07.2017
RISIKO MANAGER 08.2017
RISIKO MANAGER 09.2017
RISIKO MANAGER 10.2017
RISIKO MANAGER 01.2016
RISIKO MANAGER 02.2016
RISIKO MANAGER 03.2016
RISIKO MANAGER 04.2016
RISIKO MANAGER 05.2016
RISIKO MANAGER 06.2016
RISIKO MANAGER 07.2016
RISIKO MANAGER 08.2016
RISIKO MANAGER 09.2016
RISIKO MANAGER 10.2016
RISIKO MANAGER 01.2015
RISIKO MANAGER 02.2015
RISIKO MANAGER 03.2015
RISIKO MANAGER 04.2015
RISIKO MANAGER 05.2015
RISIKO MANAGER 06.2015
RISIKO MANAGER 07.2015
RISIKO MANAGER 08.2015
RISIKO MANAGER 09.2015
RISIKO MANAGER 10.2015
RISIKO MANAGER 11.2015
RISIKO MANAGER 12.2015
RISIKO MANAGER 13.2015
RISIKO MANAGER 15-16.2015
RISIKO MANAGER 17.2015
RISIKO MANAGER 18.2015
RISIKO MANAGER 19.2015
RISIKO MANAGER 20.2015
RISIKO MANAGER 21.2015
RISIKO MANAGER 22.2015
RISIKO MANAGER 23.2015
RISIKO MANAGER 24.2015
RISIKO MANAGER 25-26.2015
 

Copyright Risiko Manager © 2004-2017. All Rights Reserved.