bvmedien
Aufrufe
vor 6 Jahren
Flag

RISIKO MANAGER 01.2018

RISIKO MANAGER ist das führende Medium für alle Experten des Financial Risk Managements in Banken, Sparkassen und Versicherungen. Mit Themen aus den Bereichen Kreditrisiko, Marktrisiko, OpRisk, ERM und Regulierung vermittelt RISIKO MANAGER seinen Lesern hochkarätige Einschätzungen und umfassendes Wissen für fortschrittliches Risikomanagement.

28

28 RISIKO MANAGER 01|2018 Prozesse und eine entsprechende Aufbauorganisation in der IT (Ziel 1), die gleichzeitig die regulatorischen Anforderungen an einen Finanzdienstleister erfüllen und trotzdem schlank und hoch flexibel sind. Durch diese neuen Prozesse konnten zum einen diverse Revisionsfeststellungen geschlossen werden. Zum anderen wurde die IT deutlich effizienter. So verdreifachte sich gleichzeitig die Anzahl der umgesetzten Anforderungen innerhalb von 1,5 Jahren. Ende 2016 wurden die neuen Prozesse mit dem IT Service Management Award in Deutschland für das beste IT Service Projekt 2016 ausgezeichnet. Das zweite Ziel hatte die Anwendungslandschaft im Fokus. Die regulatorischen und aufsichtsrechtlichen Anforderungen müssen sich schließlich auch in der Anwendungslandschaft widerspiegeln. Hier implementierte der Factoring-Spezialist ein neues Kernbankensystem inklusive einer neuen Finanzbuchhaltung. Die vorhandenen Lösungen für die Anlagen- und Finanzbuchhaltung wurden durch SAP Business ByDesign ersetzt. Die Herausforderung hierbei war, die hohen Datensicherheitsstandards der MaRisk mit dem innovativen Ansatz einer Cloud zu verbinden. Eine Herausforderung, bei der SAP mit ihrer Lösung direkt helfen konnte. Dies ist vor allem für Finanzdienstleister heute noch etwas Besonderes. So war die SüdFactoring dank SAP Business ByDesign eines der ersten Finanzdienstleistungsunternehmen in Deutschland, das eine wesentliche Auslagerung eines Kernsystems gemäß MaRisk in die Cloud als Software-as-a-Service durchgeführt hat. Das dritte Ziel (Infrastruktur-Landschaft) hängt inhaltlich eng mit der Anwendungslandschaft zusammen. Die Anforderungen an einen stabilen Betrieb, der außerdem höchste Ansprüche an Integrität, Vertraulichkeit und Verfügbarkeit von Daten erfüllen soll, ist in Zeiten von zunehmenden Cyberangriffen und Wirtschaftsspionage eine große Herausforderung. Die SüdFactoring hat darauf, neben dem Aufbau einer sog. Two-Side-Production, auch mit diversen IT-Sicherheitsmaßnahmen reagiert. Wichtig bei solchen Programmen ist nach den Erfahrungen von SüdFactoring, dass bereits in der Planungsphase die Anforderungen von MaRisk, BAIT und des BSI-Gesetzes oder vergleichbarer regulatorischer Vorgaben berücksichtigt werden. Nur auf dieser Basis lassen sich neue Prozesse/Organisationen, Anwendungen und Infrastrukturen einführen, die folgende Anforderungen erfüllen: » Sie müssen Geschäftsprozesse adäquat und regelkonform unterstützen. » Sie sollen es einem Institut ermöglichen, flexibel und schnell auf neue Marktanforderungen und Kundenwünsche zu reagieren. Best Practices bei der Einführung und Nutzung von Cloud-Lösungen gemäß MaRisk bei der SüdFactoring Ein erster wichtiger Aspekt liegt noch weit vor der Einführung einer möglichen Cloud-Lösung. Zunächst sollte nämlich bei der Einführung von Cloud-Lösungen eine umfassende, risikoadäquate Auslagerungs- und Informationssicherheitsanalyse erfolgen. Der BSI veröffentlichte dabei explizite Anforderungen an eine Cloud-Lösung. Eine der relevanten Fragen dabei ist, wo die Daten vertraglich vereinbart physisch liegen können. Aufgrund höherer Anforderungen an Cloud-Betreiber in Deutschland als außerhalb, empfiehlt es sich heute für geschäftskritische Daten auf einen Anbieter zu setzen, der vertraglich zusichert, dass die Daten „physisch“ in Deutschland bleiben. Die SAP hat diesen Bedarf sofort erkannt und bietet hierfür umfassende und passende Lösungen an. Bei der Software-Einführung sind die Themen Testmanagement und Abnahme sehr wichtig. In diesem Zusammenhang ist ein risikobasiertes Setting von großer Bedeutung. Eine ausgiebige Testphase sollte vor allem in den Bereichen mit geschäftskritischen Prozessen und Daten erfolgen. Die Ergebnisse der Tests sowie die Abnahmen sollten ausführlich und nachvollziehbar dokumentiert werden. Dadurch kann ein Finanzdienstleister wie die Süd- Factoring nachweisen, dass die zentralen Geschäftsvorfälle einwandfrei funktionieren – auch gegenüber Dritten, wie einer Aufsichtsbehörde. Daneben gilt es darauf zu achten, dass Testdaten stets anonymisiert werden, damit Entwickler oder andere unberechtigte Personen nicht auf die Daten zugreifen können. Die EU-Datenschutz-Grundverordnung verlangt zudem, dass Daten von Kunden jederzeit und vollständig auf allen Systemen gelöscht werden können. Im Fall von SüdFactoring verliefen diese Tests von SAP Business ByDesign aufgrund der hohen Softwarequalität problemlos. Im Lauf der Praxiserprobung stellte sich zudem heraus, dass die Bedienbarkeit des neuen Systems (Usability) deutlich komfortabler war als die der Vorgänger-Lösung. Eine intuitivere Bedienung bedeutet, dass das Risiko von Fehlern durch den Anwender sinkt. Auch dies ist ein Faktor, der im Rahmen des IT-Risikomanagements nicht unterschätzt werden sollte: Je komplexer eine Geschäfts- oder Banken-Anwendung ist, desto höher ist die Gefahr, dass es zu Fehlbedienungen kommt. Dieser Aspekt sollte bei der Auswahl entsprechender Lösungen berücksichtigt werden. Durch die Umstellung der IT-Umgebung auf die Lösung von SAP ergab sich bei der SüdFactoring ein weiterer Effekt: Das Unternehmen konnte die Automatisierung von IT-Prozessen und Geschäftsabläufen deutlich steigern. Das hat den Vorteil, dass das Unternehmen schneller auf geänderte Marktanforderungen reagieren kann als Mitbewerber. Außerdem ist die SüdFactoring in der Lage, künftige regulatorische Vorgaben zügiger umzusetzen als bislang. Alleine durch die Inbetriebnahme von SAP Business ByDesign konnte das Unternehmen die Risikobeurteilung von Tag eins an weiter verbessern. Neue Regelungen wie BAIT, künftige Novellierungen von MaRisk und das BSI-Gesetz lassen sich künftig mit einem geringeren Aufwand umsetzen, was für die Nutzung der Lösung erhebliche Vorteile bietet. Automatisierung spielt auch im Zusammenhang mit der Datenqualität und dem Berichtswesen eine wichtige Rolle. Die MaRisk gibt beispielsweise vor, dass Institute Prozesse und das Reporting weitgehend automatisieren sollten. Dies soll si-

OpRisk 29 cherstellen, dass das Erfassen (Aggregation) und Aufbereiten von Daten für Risiko-Reports schneller und flexibler erfolgt. Ein weiteres Ziel automatisierter Vorgänge ist, die Datenqualität zu erhöhen. Fazit: MaRisk als Chance Letztlich, so die Einschätzung von SüdFactoring, profitieren beide Seiten von den neuen regulatorischen Anforderungen im Bereich IT-Risikomanagement: die Kunden, aber auch die Finanzinstitute. Letztere werden durch die Anforderungen gewissermaßen „genötigt“, sich mit Risiken zu beschäftigen, die jahrelang unbeachtet blieben. Dadurch gehen Finanzinstitute im IT-Bereich weniger, bzw. besser kalkulierte, Risiken ein. Dies wiederum trägt dazu bei, die Wahrscheinlichkeit eines nicht tragbaren Ausfalls systemkritischer Komponenten deutlich zu verringern. Allerdings sind die Institute aufgerufen, ihre IT-Strategie und die damit verbundenen Prozesse, Organisation, Anwendungs- und Infrastrukturlandschaft zügig an die geänderten Anforderungen von MaRisk, BAIT und anderen Vorgaben anzupassen. Dies ist angesichts der Marktsituation und schwierigen Ertragslage vieler Institute kein einfacher, aber ein unverzichtbarer Schritt. Es gibt jedoch in punkto regulatorischer Vorgaben an Finanzinstitute durchaus Optimierungsbedarf. So sind heute die Anforderungen u. a. der fünften Novelle der Ma- Risk und der BAIT, an die sich deutsche Banken halten müssen, deutlich höher, als die bei außereuropäischen Instituten. Und auch FinTechs werden bislang von vielen Anforderungen „verschont“. Dies wird gerade angesichts der Niedrigzinsphase und einer stabilen Wirtschaft zu einem Wettbewerbsnachteil für etablierte Institute. Denn in einer Phase, in der wenige Finanzgeschäfte ausfallen, führt die anerzogene Risikoaversion zu geringem finanziellen Erfolg gegenüber FinTechs und Mitbewerbern aus Fernost oder Nordamerika. Diese Nachteile kann nur eine optimierte IT-Umgebung deutlich mildern, die effizient und modern aufgestellt ist, so wie es die SüdFactoring mit der Einführung neuer effizienter Prozesse, Organisationen, Anwendungs- und Infrastrukturlandschaft geschafft hat. Autor Dr. Ulrich Reidel, CIO, SüdFactoring. Zertifi katslehrgang Geldwäschebeauftragte/r (GWB) für Kreditinstitute In Kooperation mit dem Bundesverband deutscher Banken e. V. 05. – 08. Dezember 2017 in den Räumen der Bank-Verlag GmbH in Köln Im Zuge der jüngsten GwG-Novelle verschärfen sich die Anforderungen, die Kreditinstitute ab sofort zur Verhinderung von Geldwäsche und Terrorismusfinanzierung zu leisten haben. Damit steigen auch die Herausforderungen an die Funktion des Geldwäschebeauftragten. Im Rahmen des neuen viertägigen Zertifikatslehrgangs erhalten Sie eine umfassende Einführung in die gesetzlichen Aufgaben und Pflichten des Geldwäschebeauftragten von den rechtlichen Grundlagen über Interne Sicherungsmaßnahmen bis hin zur detaillierten Erörterung der zu leistenden Risikoanalyse sowie zur Kommunikation mit den Strafverfolgungsbehörden. mit Zertifikat In diesem Lehrgang kann ein Zertifikat „Geldwäschebeauftragte/r für Kreditinstitute“ erworben werden. www.compliance-fachtagung.de mit Zertifikat

RISIKO MANAGER

APP Download

 

Copyright Risiko Manager © 2004-2017. All Rights Reserved.

Leser login

AbbrechenAnmelden
Als Leser registrieren

Sign upAbbrechen
Suche