bvmedien
Aufrufe
vor 6 Jahren
Flag

RISIKO MANAGER 04.2018

  • Text
  • Anforderungen
  • Bonds
  • Institute
  • Unternehmen
  • Aufsicht
  • Institut
  • Risiken
  • Marisk
  • Insbesondere
  • Februar
  • Risiko
RISIKO MANAGER ist das führende Medium für alle Experten des Financial Risk Managements in Banken, Sparkassen und Versicherungen. Mit Themen aus den Bereichen Kreditrisiko, Marktrisiko, OpRisk, ERM und Regulierung vermittelt RISIKO MANAGER seinen Lesern hochkarätige Einschätzungen und umfassendes Wissen für fortschrittliches Risikomanagement.

26

26 RISIKO MANAGER 04|2018 alle Ausprägungen des Bezugs von IT zusammen. Insbesondere werden hierunter die Bereitstellung von IT-Systemen, Projekte/Gewerke oder Personalgestellung sowie Cloud-Dienstleistungen subsumiert. Nochmals wird explizit hervorgehoben, dass die Auslagerungen der IT-Dienstleistungen die Anforderungen nach AT 9 der MaRisk erfüllen müssen. Das heißt, sie sind im Rahmen einer Risikoanalyse zu bewerten. Auch beim sonstigen Fremdbezug von IT-Dienstleistungen muss ein Institut die allgemeinen Anforderungen an die Ordnungsmäßigkeit der Geschäftsorganisation nach § 25a Abs. 1 KWG beachten. Folglich muss ein Institut – basierend auf AT 7.2 Tz. 4 Satz 2 MaRisk – bei jedem Bezug von Software auch die damit verbundenen Risiken angemessen bewerten. Zielsetzung der Aufsicht ist es, dass sich die Institute einen vollständigen Überblick über ihre IT-Risikosituation verschaffen und damit auch Konzentrationsrisiken bei den IT-Dienstleistungen erkennen. Wegen der grundlegenden Bedeutung der IT für den Finanzsektor verdeutlicht Tz. 53, dass ein Institut für jeden sonstigen Fremdbezug von IT-Dienstleistungen vorab eine Risikobewertung durchführen muss. Diese Risikobewertung muss im Einklang mit den Strategien des Instituts stehen und die Einbindung von Subdienstleistern und daraus abgeleitete Maßnahmen in der Vertragsgestaltung berücksichtigen. Die Art und der Umfang dieser Risikobewertung können institutsindividuell unter Proportionalitätsaspekten ausgestaltet werden. Konkret bedeutet dies für ein Institut im Fall eines Fremdbezugs, dass es eine Risikobewertung als Entscheidungsvorlage herbeiführen muss. Dementsprechend stellt sich für ein Institut nicht die Frage, ob eine Risikobewertung erfolgen muss, sondern es muss entscheiden, wie ausführlich – unter Proportionalitätsgesichtspunkten – Art und Umfang der Risikobewertung erfolgen soll. Das Institut muss die Erbringung der vom Dienstleister geschuldeten Leistung gemäß Tz. 54 auf Basis der Risikobewertung überwachen. Demzufolge muss das Institut diese Überwachung nach den Risikokriterien aus seiner Risikobewertung durchführen. Weiterhin muss es zur Steuerung des sonstigen Fremdbezugs eine vollständige und strukturierte Vertragsübersicht vorhalten. Diese kann auch im Rahmen einer Bündelung von Verträgen des sonstigen Fremdbezugs von IT-Dienstleistungen erfolgen (Vertragsportfolio). Die Aufsicht fordert in Tz. 55, dass ein Institut die aus der Risikobewertung zum sonstigen Fremdbezug von IT-Dienstleistungen abgeleiteten Maßnahmen angemessen in der Vertragsgestaltung berücksichtigen muss. Dabei sind die Ergebnisse der Risikobewertung angemessen im Managementprozess des operationellen Risikos, insbesondere bei der Gesamtrisikobewertung des operationellen Risikos, einzubeziehen. Ein Institut muss – und zwar „nur“ bei Relevanz – auch die Möglichkeit des Ausfalls eines IT-Dienstleisters einkalkulieren und hierzu eine Exit- oder Alternativ-Strategie entwickeln. Letztere ist entsprechend zu dokumentieren. Weiterhin müssen Institute ihre Risikobewertungen für den sonstigen Fremdbezug von IT-Dienstleistungen regelmäßig und anlassbezogen überprüfen und – falls erforderlich – unter Berücksichtigung der Vertragsinhalte anpassen (Tz. 56). Ausblick Die modulare Struktur der BAIT erlaubt es der Aufsicht, flexibel neue internationale oder nationale Anforderungen in das Gesamtwerk zu integrieren und Modifikationen vorzunehmen. So sollen wesentliche Elemente zur Cybersicherheit, die in einem G7-Bericht im Oktober 2016 veröffentlicht wurden [G7 Cyber Expert Group, 2016], in die BAIT einfließen, nachdem das Papier von den Finanzministern und Notenbankgouverneuren der G7 am Rande der Jahrestagungen des IWF und der Weltbankgruppe am 12. Oktober 2017 in Washington verabschiedet worden ist. In Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) überlegt die BaFin, die BAIT um ein spezielles Modul für Betreiber kritischer Infrastrukturen (KRITIS) im Sinn des § 2 Absatz 10 BSI-Gesetz zu erweitern [Gampe & Silberg, 2017, S. 31 ff.], um damit gleichzeitig auch die Anforderungen im Rahmen des BSI-Gesetzes zu erfüllen. Weiterhin ist geplant, Modifikationen zum Themenkomplex IT-Notfallmanagement inklusive Test- und Wiederherstellungsverfahren in den BAIT vorzunehmen. Ein interessanter Aspekt ist, dass die BAIT demnächst auch in englischer Sprache veröffentlicht werden sollen. Damit soll erreicht werden, dass die Aufsicht die BAIT im Rahmen der zukünftigen europaweiten Harmonisierung der bankaufsichtlichen Anforderungen an das Management von IT-Risiken verstärkt und aktiv in den Diskussionsprozess einbringen kann. Weiterhin hat die Aufsicht bereits durchblicken lassen, dass sie in absehbarer Zeit auch für die Versicherungsaufsicht ein vergleichbares Rundschreiben „Versicherungsrechtliche Anforderungen an die IT“ veröffentlichen wird. Quellenverzeichnis Bundesanstalt für Finanzdienstleistungsaufsicht (2017a): Entwurf der BAIT in der Version vom 23. Februar 2017, Konsultation 02/2017. Bundesanstalt für Finanzdienstleistungsaufsicht (2017b): Rundschreiben 10/2017 (BA) vom 03. November 2017, Bankaufsichtliche Anforderungen an die IT (BAIT) sowie Bundesanstalt für Finanzdienstleistungsaufsicht (2017), E-Mail an die Verbände der Kreditwirtschaft vom 03. November 2017, GZ: BA 51-K 3142-2017/0011, 2017/1376195. Essler, R.; Gampe, J. (2018): IT-Sicherheit, BaFinJournal, Januar 2018. G7 Cyber Expert Group (2016): G7 Fundamental Elements of Cybersecurity for the Financial Sector, https://ec.europa.eu/info/system/files/cybersecurity-fundamental-elements-11102016_en.pdf. Gampe, J.; Silberg, S. (2017): Kritische Infrastrukturen, BaFinJournal, August 2017. Schulte-Mattler, H.; Dürselen, K. (2018): Ein Überblick – Die Fünfte MaRisk-Novelle, in: Die Bank, Heft 2, S. 30-35. Autoren Karl Dürselen ist Senior Manager und Trainer mit den Schwerpunkten Bankenaufsicht und Gesamtbanksteuerung sowie Lehrbeauftragter für Finanz- und Bankwirtschaft. Prof. Dr. Hermann Schulte-Mattler ist Professor für Betriebswirtschaftslehre insbesondere Finanzwirtschaft und Controlling an der FH Dortmund.

Liebe FIRM-Leser, die GroKo steht und mit ihr hat das Warten ein Ende. Nach viel Hin und Her, dem Zank um eine richtungsweisende Politik sowie den zu verteilenden Posten sind sich CDU/CSU und SPD nun einig. Oft braucht es eben eine längere Schleife, bis sich die jeweiligen Partner gefunden haben. So wie im Finanzumfeld, wo das anfängliche Misstrauen der Banken gegen FinTechs langsam der Erkenntnis weicht, dass man voneinander profitieren kann. Im Grunde ist es wie in der Politik: Jeder muss einen Schritt aufeinander zugehen. Das zeichnet sich auch im neuen „World Fintech Report 2018“ ab. Dort heißt es unter anderem: „Die symbiotische Zusammenarbeit von Fintechs und Finanzinstituten betont die komplementären Stärken beider Seiten […]“. Wenn das mal nicht nach Eintracht klingt. Diese Einigkeit ist auch deshalb wichtig, weil die Digitalisierung im Bankenumfeld weiter zunimmt und eines der Trendthemen laut Digitalverband Bitkom ist. Und auch die EU ist aufgewacht. Ein Beispiel: Die Europäische Kommission hat Ende Februar in Brüssel zu einem Runden Tisch zum Thema „Kryptowährungen – Chancen und Risiken“ eingeladen, um beispielsweise regulatorische Maßnahmen auf EU-Ebene zu prüfen. Sie sehen: Die digitalisierte Bankenwelt ist einer der Treiber in Politik und Wirtschaft. Weniger Harmonie herrscht dagegen beim Thema Compliance. Rechtsverstöße sind an der Tagesordnung und in einigen Unternehmen ist das Compliance-Bewusstsein nicht das, was es sein sollte. Das wird nach Worten von Prof. Gregor Bachmann von der Berliner Humboldt-Universität in immer neuen Compliance-Fällen bestätigt. In unserem Interview nimmt Bachmann Stellung zum Deutschen Corporate Governance Kodex (DCGK). Sein Credo: „Wichtig wäre, dass das Abhaken der Kodex-Empfehlungen in den Führungsetagen nicht bloß als lästige Pflichtübung angesehen wird, sondern dass man sich dort ernsthaft mit den Empfehlungen auseinandersetzt.“ Dass es trotz positiver Entwicklungen auch Nachholbedarf hierzulande gibt, zeigt der neue Korruptionswahrnehmungsindex, wonach Deutschland im internationalen Vergleich auf Platz zwölf zurückgefallen ist. Bleibt zu hoffen, dass die Verantwortlichen in Politik und Wirtschaft aus den Fehlern lernen. Wir werden es sehen, spätestens im kommenden Jahr. Dann steht der neue Korruptionswahrnehmungsindex an. Jetzt wünschen wir Ihnen aber erst einmal viele neue Erkenntnisse bei mit der neuen FIRM-Ausgabe. Bleiben Sie uns gewogen. Es grüßt INHALT 27 EDITORIAL 28 INTERVIEW 31 WISSENSCHAFT 32 REGULIERUNGSTRENDS 33 FIRM-NEWS UND TERMINE HERAUSGEBER Gesellschaft für Risikomanagement und Regulierung e.V. Walther-von-Cronberg-Platz 16 D 60594 Frankfurt am Main Telefon: +49 69 94 41 80 97 Telefax: +49 69 94 41 80 19 Internet: www.firm.fm E-Mail: info@firm.fm Redaktion: Frank Romeike (V.i.S.d.P.), Frank Westhoff, Andreas Eicher E-Mail: redaktion@firm.fm Erscheinungsweise: 10 x im Jahr als Einhefter in der Zeitschrift RISIKO MANAGER Frank Romeike, verantwortlicher Chefredakteur und Mitglied des FIRM-Vorstands

RISIKO MANAGER

APP Download

 

Copyright Risiko Manager © 2004-2017. All Rights Reserved.

Leser login

AbbrechenAnmelden
Als Leser registrieren

Sign upAbbrechen
Suche