Aufrufe
vor 6 Jahren

RISIKO MANAGER 07.2017

  • Text
  • Risiken
  • Banken
  • Provisions
  • Risikomanagement
  • Wertberichtigungen
  • Sicherheiten
  • Unternehmen
  • Risiko
  • Anforderungen
  • Rendite
RISIKO MANAGER ist das führende Medium für alle Experten des Financial Risk Managements in Banken, Sparkassen und Versicherungen. Mit Themen aus den Bereichen Kreditrisiko, Marktrisiko, OpRisk, ERM und Regulierung vermittelt RISIKO MANAGER seinen Lesern hochkarätige Einschätzungen und umfassendes Wissen für fortschrittliches Risikomanagement.

36

36 RISIKO MANAGER 06|2017 Fotonachlese OpRisk-Forum 2017 BAIT sollen IT-Risikobewusstsein erhöhen Mit den Bankaufsichtlichen Anforderungen an die IT (BAIT) kommt auf das OpRisk-Management und andere risikotangierte Stabsstellen in den Kreditinstituten eine Menge Arbeit zu. Die BAIT sollen die Mindestanforderungen an das Risikomanagement (MaRisk) konkretisieren, deren fünfte Novelle vor der Tür steht. Die Veröffentlichung des BAIT-Rundschreibens ist für Mitte 2017 geplant, wie Dr. Jens Gampe von der Finanzaufsicht BaFin im Rahmen des OpRisk-Forums 2017 in Köln verriet. Mit den BAIT will die Bankenaufsicht einen flexiblen und praxisnahen Rahmen insbesondere für das Management der IT-Ressourcen und das IT-Risikomanagement schaffen. Das unternehmensweite IT-Risikobewusstsein im Institut und gegenüber den Auslagerungsunternehmen soll erhöht und die Erwartungshaltung der Aufsicht an die Banken transparenter gestaltet werden. Die prinzipienorientierten Anforderungen tragen dem Proportionalitätsprinzip Rechnung und ermöglichen den Instituten somit eine risikoorientierte Umsetzung. Die BAIT gliedern sich in insgesamt acht Module, die nach Regulierungstiefe und -umfang nicht abschließender Natur sind. Die konkrete Ausgestaltung der IT-Systeme und der dazugehörigen IT-Prozesse obliegt immer noch den Kreditinstituten. Die BaFin empfiehlt aber, einschlägige Standards zu berücksichtigen (z. B. Grundschutzkatalog des deutschen Bundesamts für Sicherheit in der Informationstechnik und ISO/IEC 2700X). IT-Strategie Im Detail muss die Geschäftsleitung eine IT-Strategie festlegen, in der u. a. eine strategische Entwicklung der IT-Aufbau- und Ablauforganisation sowie der dazugehörigen IT-Prozesse sowie der IT-Auslagerungsstrategie dargelegt wird. Dies umfasst eine Beschreibung der Rolle, der Positionierung und des Selbstverständnisses der IT im Hinblick auf Personaleinsatz, Budget und Wirtschaftlichkeit im Unternehmen. Darüber hinaus hat eine Zuordnung der gängigen Standards zu erfolgen, an denen sich das Institut orientiert, sowie die Erstellung eines Zielbilds der IT-Architektur in Form eines Überblicks über die Anwendungslandschaft. Es müssen Eckpunkte der Informationssi-

37 cherheitsorganisation enthalten sein sowie Aussagen zum Notfallmanagement und zu den in den Fachbereichen selbst betriebenen bzw. entwickelten IT-Systemen. IT-Governance Die Geschäftsleitung ist auch dafür verantwortlich, dass die Regelungen zur IT-Governance wirksam umgesetzt werden. Damit ist die gesamte Struktur zur Steuerung und Überwachung der IT-Systeme und -Prozesse auf Basis der IT-Strategie gemeint. Hierfür haben Banken ausreichend Personal vorzuhalten und in der Ablauforganisation Interessenkonflikte zu vermeiden. Informationsrisikomanagement Beim Informationsrisikomanagement muss eine Methodik zur Ermittlung des Schutzbedarfs erkennbar sein, vor allem im Hinblick auf die Schutzziele Integrität, Verfügbarkeit, Vertraulichkeit und Authentizität. Dazu gehören auch Risikoanalysen hinsichtlich Schadenspotenzial und Schadenshäufigkeit. Restrisiken sind in den Prozess des Managements der operationellen Risiken zu überführen. Der Begriff „Restrisiken“ impliziert jedoch nach Ansicht der Banken, dass jegliche Risiken – also auch sehr unwahrscheinliche oder solche mit geringem Schadenspotenzial – aktiv gesteuert werden müssten, was dem Grundgedanken der MaRisk widerspricht. Der Anspruch dieses Moduls ist, dass Risiken mit IT-Bezug ebenfalls im Risikomanagement der Institute zu berücksichtigen sind und Bestandteile zum Management dieser Risiken aufgezeigt werden. Einzelne IT-Risiken können aber in Zusammenhang mit Risiken anderer Bereiche stehen, z. B. Personal-, Prozess-, Rechtsrisiken. IT-Risiken fließen als Teil des operationellen Risikos (OpRisk) und nicht als eigenständige Kategorie in die Risikosteuerungs- und -controllingprozesse des Instituts insgesamt ein. Dabei dürfte eine einheitliche Behandlung aller operationellen Risiken auch mit Blick auf übergreifende Risikosteuerungsmaßnahmen sinnvoll sein.

RISIKO MANAGER

 

Copyright Risiko Manager © 2004-2017. All Rights Reserved.