Aufrufe
vor 5 Jahren

RISIKO MANAGER 06.2018

  • Text
  • Banken
  • Risiken
  • Institute
  • Risiko
  • Simulation
  • Insbesondere
  • Zinsen
  • Historischen
  • Kurzlaufend
  • Regulierung
RISIKO MANAGER ist das führende Medium für alle Experten des Financial Risk Managements in Banken, Sparkassen und Versicherungen. Mit Themen aus den Bereichen Kreditrisiko, Marktrisiko, OpRisk, ERM und Regulierung vermittelt RISIKO MANAGER seinen Lesern hochkarätige Einschätzungen und umfassendes Wissen für fortschrittliches Risikomanagement.

26 firm Frankfurter

26 firm Frankfurter Institut für Risikomanagement und Regulierung vilrechtlichen Organhaftung schützen [vgl. hierzu Hartmann/Romeike 2015]. Kennen Sie die wesentlichen Kriterien dieser Leitlinie, und wissen Sie, was Sie bei strategischen unternehmerischen Entscheidungen zu beachten haben? Nur ein Hinweis: Es bedarf der Gegenüberstellung der 3-5-Jahresplanung sowohl der Alternative des „Status quo“ als auch der Alternative „strategische Veränderung“. Und zwar sowohl für den „most realistic case“ als auch den „downside case“. Das nicht nur für die Gewinn- und Verlustrechnung, sondern insbesondere bei Banken auch für Bilanzpositionen. Denn nur so lässt sich feststellen, ob die regulatorischen Mindestanforderungen auch im Rahmen der strategischen Veränderung eingehalten werden können. Erkennbar kannten viele Bankmanager die BJR nicht. Nur so konnte die Finanzmarktkrise ganze Institutsgruppen an den Rand des Abgrunds bringen. Durch global koordinierte gigantische Staatshilfen mussten viele systemrelevante Banken gerettet werden. Kann das wieder passieren? Ja, selbstverständlich kann es das. Corporate Governance als Schwachstelle Aus meiner Sicht ist die Corporate Governance bei vielen Unternehmen, insbesondere aber bei Banken, unverändert eine Schwachstelle. Daran ändern auch internationale Leitlinien nichts. Was wir dringend im Rahmen der Corporate Governance benötigen, professionell und kompetent agierende Aufsichtsräte und Vorstände. Ich empfehle einen Paradigmenwechsel bei den Kenntnissen, die zum Grundgerüst eines Bankvorstands und Aufsichtsrats gehören. Diese sollten regelmäßig an die aktuellen Anforderungen angepasst und alle zwei bis drei Jahre im Rahmen von „Fit and Proper“ nachgewiesen, geschult und zertifiziert werden. Die Folge ist: Wer durchfällt, muss sein Mandat zurückgeben. Mit anderen Worten heißt das: Hier ist der Regulator gefragt. Zweifelsfrei unterliegt das professionelle Managen und Überwachen der Cyberrisiken der Organhaftung. Bei Bankvorständen und Aufsichtsräten ist das auch im Kreditwesengesetz (KWG) geregelt. Sofern ein Organ das Managen der Cyberrisiken alleine der Fachebene überlässt, haftet das Organ bei offenkundigem Versagen. Zu kritisieren sind an dieser Stelle zudem die häufig zersplitterten Risikoverantwortlichkeiten in Banken. Geradezu klassisch zu nennen ist die Trennung zwischen dem Chief Risk Officer, der für die Financial Risks zuständig ist, und dem CFO, CEO oder COO. Letzte tragen häufig für Compliance-Risiken beziehungsweise die Non-Financial Risk die Verantwortung. Gelegentlich kommt noch ein gesonderter Vorstand für Legal Risk hinzu, der sich ausschließlich um die Schadensbegrenzung bei Altfällen kümmert. Durch diese Zersplitterung wird eine Gesamtschau durch das Risiko-Committee des Aufsichtsrats verhindert. Und was macht die Regulierung? Nun, man beginnt das Thema Cybercrime zu entdecken. So erlangt am 25. Mai 2018 auf Ebene der Europäischen Union die „General Data Protection Regulation“, kurz GDPR, nach einer zweijährigen Übergangsphase europaweit unmittelbar Gesetzeskraft. Einer Überführung in nationales Recht bedarf es somit nicht. Gemäß den GDPR müssen bei Behörden und Unternehmen mit „certain risky processes“ sogenannte „Data Protection Officer“ (DPOs) installiert werden. National sind unabhängige „Supervisory Authorities“(SAs) zu schaffen, die europaweit durch einen „Data Protection Board“ überwacht werden. Die SAs können bei schwerwiegenden Verstößen gegen die „Data Protection Rules“ Geldbußen gegen die Data Controller von bis zu 20 Millionen Euro verhängen. Die DPOs müssen losgelöst von der operativen IT-Verantwortung agieren und ein „Data Protection Impact Assessment“ for „all risky processing“ installieren. Auch die European Banking Authority (EBA) wurde aktiv und hat am 11. Mai 2017 „Guidelines on ITC Risk Assessment under the Supervisory Review of Evaluation Process”, kurz SREP, veröffentlicht. Die Europäische Zentralbank (ECB) hat ein „Reporting Framework for Significant Cyber Incidents“ angestoßen. Dies wird nunmehr sukzessive bei allen unmittelbar beaufsichtigten, rund 130, Banken der Eurozone ausgerollt wird. Die Daten sollen vertraulich behandelt werden, die Richtlinie der ECB wurde leider nicht veröffentlicht. Man scheut also die Publizität bei diesem sensiblen Thema, möchte erst einmal Erfahrungen sammeln und offenkundig die Verbraucher nicht verunsichern. Fazit Die Bedrohung durch Cybercrime nimmt im Zuge der Digitalisierung der Industrie 4.0 exponentiell zu. Bei der Abwehr von Cybercrime-Risiken und deren Regulierung befinden wir uns noch im „stadium nascendi“. Zwar bin ich optimistisch, dass durch ein besseres Managen der Compliance-Risiken die Milliardenstrafen für Marktmanipulationen durch Banken bald der Vergangenheit angehören werden. Dafür dürften sich die Cybercrime-Risiken als neuer Kopf der Hydra im Laufe der nächsten Jahre wohl zur teuersten Komponente im Bereich der Compliance-Risiken entwickeln. Zur Begrenzung der Cyberrisiken sind prophylaktische Investitionen zur Schaffung sicherer Systeme unabdingbar. Hierzu zählt auch die Ausbildung von Experten und eine bessere organisatorische Aufstellung sowie eine professionelle Corporate Governance. Wer an falscher Stelle spart, dürfte früher oder später durch hohe Verluste aus Cybercrime-Schadensfällen bestraft werden und im Rahmen der Organhaftung möglicherweise auch seinen Job verlieren. Hinzu kommen Strafzahlungen sowie Reputationsverluste in der Öffentlichkeit und bei den Kunden. Weiterführende Literaturhinweise Hartmann, Wolfgang/Romeike, Frank [2015]: Business Judgement Rule, in: FIRM Jahrbuch 2015, Frankfurt/Main 2015, S. 157-160. Elsberg, Marc [2012]: Blackout - Morgen ist es zu spät, Blanvalet Verlag, München 2012. Autor Wolfgang Hartmann, Ehrenvorsitzender des Vorstands des Frankfurter Instituts für Risikomanagement und Regulierung e.V. (FIRM). Er war bis 2009 Mitglied des Vorstands und Chief Risk Officer bei der Commerzbank.

R 27 Ausgabe 06/2018 Wissenschaft Studie: E-Mail-Betrug ein Top-Sicherheitsrisiko Gegen Unternehmen gerichtete E-Mail-Betrugsversuche werden immer häufiger: Wir stellten fest, dass in den letzten zwei Jahren 75 % der Unternehmen mindestens einen E-Mail- Betrugsversuch registriert haben. Mehr als zwei Fünftel (41 %) gaben an, dass sie mehrfach angegriffen wurden. Und 77 % machen sich Sorgen, dass das Unternehmen in den nächsten 12 Monaten einen E-Mail- Betrugsversuch erleben wird. Die aktuelle Studie „Understanding Email Fraud Survey“ der Cybersecurity-Firma Proofpoint zeigt, dass 82 Prozent der weltweit befragten Unternehmen von E-Mail-Betrug betroffen sind und mehr als die Hälfte (59 Prozent) diese Cyberbedrohung als ein Top-Sicherheitsrisiko einstufen. E-Mail-Betrug, bei dem Cyberkriminelle sich beispielsweise als Vorgesetzte ausgeben, ist bereits heute weit verbreitet und für die Täter bestechend einfach einzusetzen. „Der E-Mail-Betrug, oftmals auch als Business Email Compromise (BEC) bezeichnet, ist aufgrund dieser Faktoren für klassische Sicherheitssoftware eine besondere Herausforderung. Cyberkriminelle setzen bei dieser Taktik auf die menschliche Naivität“, sagt Werner Thalmeier, Senior Director Systems Engineering EMEA bei Proofpoint. „Unsere Untersuchungsergebnisse unterstreichen daher, dass Organisationen und deren Vorstandsetagen angehalten sind, für ihre Belegschaft entsprechende Security-Lösungen bereitzustellen und diese Art der Bedrohung in Mitarbeiterschulungen zu thematisieren.“ Deutsche Organisationen waren in den letzten zwei Jahren im internationalen Vergleich unterdurchschnittlich von E-Mail-Betrug betroffen. So FINANZ- ABTEILUNG E-MAIL-BETRUG NIMMT RASANT ZU 75 % 77 % BUCHHALTUNG GESCHÄFTS- LEITUNG MITARBEITR ALLGEMEIN gaben lediglich 62 Prozent aller deutschen Befragten an, im Studienzeitraum mindestens einmal Opfer eines E-Mail-Betrugs gewesen zu sein (im weltweiten Durchschnitt 75 Prozent). Dennoch nannte ein Drittel (32 Prozent) der deutschen Befragten, dass ihr Unternehmen mehrfach Ziel eines derartigen Angriffs wurde. Für die Studie wurden 2.250 IT-Entscheider (USA, UK, Frankreich, Australien und Deutschland) zu ihren Erfahrungen aus den letzten beiden Jahren befragt. Heute ist JEDER im Unternehmen ein potenzielles Ziel: Im 4. Quartal wurden in jedem Unternehmen durchschnittlich 10 Identitäten gefälscht. Erfolgreiche E-Mail-Betrugsversuche hatten in Unternehmen diese Folgen: Ausfallzeiten und unterbrochener Geschäftsbetrieb Weitere Informationen unter: www.proofpoint.com 56 % Finanzielle Verluste 33 % Entlassung von Mitarbeitern 24 % … UND ZÄHLT NUN ZU DEN GRÖSSTEN GESCHÄFTSRISIKEN Auszeichnung für Dissertation: Bankenrestrukturierung und -abwicklung 82 % der Umfrageteilnehmer gaben an, dass die Bedrohung Vorstandsmitglieder und Führungskräfte beschäftigt. 41 % CYBERKRIMINELLE DRINGEN TIEFER IN UNTERNEHMEN VOR E-MAIL-BETRUG TRIFFT DIE OPFER SCHWER … 59 % betrachten E-Mail-Betrug als eines der größten Sicherheitsrisiken für ihr Unternehmen. Die internationale Kanzlei Baker McKenzie hat Anfang Mai 2018 den Preis für die beste wirtschaftsrechtliche Dissertation an Dominik Schöneberger verliehen. Er erhielt die Auszeichnung für seine Dissertation „Bankenrestrukturierung und Bankenabwicklung in Deutschland und den USA“. „Dominik Schönebergers Arbeit verknüpft in vorbildlicher Weise juristische Dogmatik, Rechtsvergleichung und ökonomische Analyse. Sie durchleuchtet nicht nur kritisch das geltende Recht, sondern entwickelt darüber hinaus eine Vielzahl konstruktiver rechtspolitischer Vorschläge“, kommentiert der betreu- SO REAGIEREN UNTERNEHMEN Um dieses wachsenden Problems Herr zu werden: 57 % haben 43 % haben 48 % haben 23 % haben ein Programm zur Steigerung des Benutzerbewusstseins für Phishing implementiert. E-Mail-Authentifizierung implementiert. Richtlinien für Drittanbieter zum Schutz ihrer Lieferkette erlassen. eine Cyberversicherung abgeschlossen. ende Professor Andreas Cahn vom Institut für Zivil- und Wirtschaftsrecht der Goethe-Universität die Auswahl des Preisträgers. Jährlich vergibt die Kanzlei den Baker McKenzie-Preis für herausragende Dissertationen oder Habilitationen, die im Fachbereich Rechtswissenschaft der Goethe-Universität entstanden sind. Der Preis ist mit 6.000 Euro dotiert und kann auch auf zwei Preisträger aufgeteilt werden. Die bisherigen Preisträger sind heute unter anderem Universitätsprofessoren, Investmentbanker, Richter und Rechtsanwälte. Studie zum Vorgehen gegen illegale Finanzgeschäfte Ein Problem vieler Großbanken: Sie leiden unter zu komplexen und fehleranfälligen Prozessen bei der Bekämpfung von illegalen Finanztransaktionen. Dadurch steigt das Risiko, kriminelle Aktivitäten zu übersehen, seriöse Kunden zu verärgern und von den Aufsichtsbehörden sanktioniert zu werden. Zu diesem Schluss kommt die aktuelle Studie „How Banks Can Excel in Financial Crimes Compliance“ des Beratungsunternehmens Bain & Company in Zusammenarbeit mit der Parker Fitzgerald Group. Banken müssen viel mehr in moderne Datenanalyse, agile Kontrollabläufe und in die Kooperation mit hoch spezialisierten Regtech-Firmen investieren. Die Studie identifiziert vier Schlüsselkomponenten für den erfolgreichen Kampf gegen illegale Geldgeschäfte. Hierzu zählen: Prozesse komplett neu zu definieren, ein System für alle Daten, Advanced Analytics und Partnerschaften mit Regtechs. In Zukunft werden Banken gewisse Compliance-Prozesse an solch spezialisierte Regtechs auslagern, die zum Teil gemeinsam mit Wettbewerbern eigene Anti-Betrugs-Einheiten etablieren. „Damit die Zusammenarbeit mit den Regtechs erfolgreich ist, sollte der Compliance-Partner das Vertrauen der Aufsichtsbehörden genießen und die Bankdaten bestmöglich schützen“, erklärt Bain-Partner und Studien-Co-Autor Matthias Memminger. „Die Banken müssen sich außerdem den agilen Arbeitsweisen der Regtechs annähern, interne Abläufe abspecken und ihre IT-Architektur zügig den erforderlichen neuen Technologien anpassen.“ Auch gilt es für die Banken, in punkto Unternehmenskultur offener und im Projektmanagement flexibler zu werden. Weitere Informationen unter: www.bain.de Kurz notiert: Gastprofessur für Finanzgeschichte Harold James, Princeton University, übernimmt in diesem Jahr die Gastprofessur für Finanzgeschichte am House of Finance der Goethe- Universität Frankfurt. Die Gastprofessur wird vom Bankhaus Metzler und der Friedrich-Flick-Förderungsstiftung finanziert. Die Forschungsschwerpunkte von Harold James liegen in den Bereichen Wirtschaftsund Finanzgeschichte sowie neue europäische Geschichte. James studierte an der Cambridge University.

RISIKO MANAGER

 

Copyright Risiko Manager © 2004-2017. All Rights Reserved.