Aufrufe
vor 5 Jahren

RISIKO MANAGER 07.2018

  • Text
  • Banken
  • Risiken
  • Risiko
  • Risikomanagement
  • Unternehmen
  • Risikomanagements
  • Beispielsweise
  • Dissertation
  • Regulierung
  • Insbesondere
RISIKO MANAGER ist das führende Medium für alle Experten des Financial Risk Managements in Banken, Sparkassen und Versicherungen. Mit Themen aus den Bereichen Kreditrisiko, Marktrisiko, OpRisk, ERM und Regulierung vermittelt RISIKO MANAGER seinen Lesern hochkarätige Einschätzungen und umfassendes Wissen für fortschrittliches Risikomanagement.

14

14 RISIKO MANAGER 07|2018 Informationssicherheits-Risikomanagement IRM ist mehr als ein Teilbereich des operationellen Risikos Einer der zentralen Unternehmenswerte von Banken ist das Vertrauen ihrer Kunden in die Sicherheit ihres Geldes und ihrer persönlichen Daten. Wer schon einmal einen größeren (Unternehmens-) Kredit beantragt hat, weiß, in welchem Umfang Banken über vertrauliche Daten ihrer Kunden verfügen. Entsprechend hoch sind die Begehrlichkeiten bei Angreifern und das Erpressungspotenzial, dem Finanzinstitute im Zweifelsfall ausgesetzt sind. Rechtliche Sanktionen kommen im schlimmsten Fall noch hinzu. Daher sollte die Informationssicherheit in Banken bei den Instituten sehr umfassend behandelt werden. Es wäre verfehlt, sich auf die Position zurückzuziehen, dass die umfangreiche Erhebung und Steuerung der übergeordneten operationellen Risiken bereits ausreichend wäre.

OpRisk 15 Die Regulierung des Informationssicherheits- Risikomanagements Die Informationssicherheit in Banken ist mittlerweile zum zentralen Regulierungsthema geworden. Erst kürzlich bezeichnete der Vorsitzende des Baseler Komitees zur Bankenregulierung Stefan Ingves die Cyber-Risiken von Banken sogar als besonders bedrohlich und als das kommende Interventionsfeld der Aufsicht [vgl. Ingves 2018 S. 4]. In den zentralen regulatorischen Dokumenten aus London und Frankfurt, der EBA-Leitlinien für die IKT-Risikobewertung im Rahmen des SREP, sowie die Bankaufsichtlichen Anforderungen an die IT (BAIT) der BaFin wird das eigentliche Risikomanagement allerdings nur schwach beleuchtet [vgl. BaFin 2017]. In den EBA-Guidelines für die Aufsichtsorgane werden von der europäischen Aufsicht über gängige Governance-Anforderungen hinaus im Wesentlichen allgemeine Anforderungen an das Risikomanagement von IKT-Risiken formuliert. In Titel 3 wird gefordert, dass „die zuständigen Behörden […] bewerten [sollten], ob das Institut seine IKT-Risiken ordnungsgemäß ermittelt, bewertet und gemindert hat.“ [EBA 2017 Tz. 35]. Mit dem IKT-Risikomanagement an sich befasst sich aber lediglich eine weitere Textziffer [vgl. EBA 2017 Tz. 49]. Diese Sparsamkeit bei der Behandlung des Themas Risikosteuerung nimmt sich neben der ausführlichen und detaillierten Auflistung erforderlicher Maßnahmen zur Begegnung der gängigen Gefährdungen in den Textziffern 52 bis 60 wie ein starkes Ungleichgewicht aus. Dieser Eindruck verstärkt sich durch den Umstand, dass eine finale Einwertung der IKT-Risiken nach Ansicht der EBA über das operationelle Risiko (opRisk) erfolgen soll [vgl. EBA 2017, Abschnitt 3.1, Abschnitt 3.3.1]. Die einschlägige Verlautbarung aus Bonn – die BAIT – orientiert sich notwendigerweise an den Vorgaben der EBA. Zwar ist in Absatz 13 die Risikoanalyse ausführlicher als von der EBA beschrieben, nicht jedoch die Risikosteuerung an sich. Erstere erfolgt nach Dafürhalten der BaFin im Wesentlichen über eine Gap-Analyse (Soll-Ist-Abgleich) zwischen Anspruch (IT-Governance-Rahmenwerk, IT-Strategie) und Wirklichkeit, letztere soll nach bewährtem Muster via das OpRisk erfolgen [vgl. BaFin 2017]. Insgesamt drängt sich dem Risikomanager der Eindruck auf, dass es der Aufsicht vor allem um eine vollständige Erfassung der IT-Risiken geht, weniger um deren effektive und effiziente Steuerung. Selbst gängige Steuerungsgrundsätze, die sogar in der Jahresabschlussanalyse längst Eingang gefunden haben, wie Risikoorientierung und Risikosensitivität, sucht man in den von der Aufsicht formulierten Ansprüchen an das IT-Risikomanagement vergeblich. Ohne eine risikosensitive Bewertung der Gefährdungen auf der einen und einer endlichen Risikodeckungsmasse auf der anderen Seite werden jedoch keine Anreize für eine effiziente Steuerung der IT-Risiken geschaffen. In dieser Hinsicht reicht die mittelbare Integration des IT-Risikomanagements via das OpRisk in die ICAAP-Steuerung nicht aus. Zu wenig transparent ist die Überleitung von Soll-Ist-Analyse im IT-Risikomanagement zu den Basler Ereigniskategorien des OpRisk. Dabei gibt es längst Präzedenzfälle für eigene Steuerungskreise für diejenigen Risiken, die sich der klassischen Säule-Iund Säule-II-Steuerung entziehen. Nehmen wir zum Beispiel das Liquiditätsrisiko. Für dieses Risiko, vermutlich von ähnlich großer Bedeutung wie das Informationssicherheitsrisiko, hat die Aufsicht mittlerweile mit dem ILAAP ein eigenes Instrumentarium geschaffen. In die Säule-I-Steuerung fließt es über eigene Kennziffern (LCR, NSFR) ein. Aber rechtfertigt das IT-Risiko tatsächlich einen eigenen Steuerungskreis? Wir sind der Auffassung: unbedingt. Steuerung des Informationssicherheitsrisikos Das IRM umfasst sinnvollerweise die gesamte Risikomanagementkette von Aufnahme, Bewertung, Berichterstattung und Steuerung (vgl. hierzu Abb. 01). Ziel des Risikomanagements ist es, Risiken laufend transparent zu machen. Dazu gehört neben deren vollständiger Erfassung und Bewertung eben auch die Steuerung, also die Verteilung von Ressourcen auf die Risikobehandlungsmaßnahmen. Dafür ist es notwendig, dass die Bewertung risikosensitiv erfolgt, also eine Einordnung der Gefährdungen auf einer ordinalen Skala von niedrig bis hoch erlaubt. Idealerweise erfasst die Bewertung nicht nur die Einzelrisiken, sondern auch deren Beziehungen untereinander, die im Zweifelsfall zu Risikokonzentrationen führen können. Auf Basis dieser Risikoeinschätzung werden im Rahmen der Gesamtbanksteuerung geschäftspolitische Entscheidungen (beispielsweise Investitionen in Sicherheit) getroffen.

RISIKO MANAGER

 

Copyright Risiko Manager © 2004-2017. All Rights Reserved.