Aufrufe
vor 6 Jahren

RISIKO MANAGER 15-16.2015

  • Text
  • Risiken
  • Unternehmen
  • Kontrahenten
  • Gleichung
  • Banking
  • Deutschen
  • Deutschland
  • Banken
  • Operationelle
  • Mitarbeiter
RISIKO MANAGER ist die führende Fachzeitschrift für alle Experten des Financial Risk Managements in Banken, Sparkassen und Versicherungen.

22 Ausgabe

22 Ausgabe 15-16/2015 Funktion in Kreditinstituten (MaRisk und MaComp) erfüllen. Dabei ist der Fokus insbesondere auf die Sichtung der Dokumente und die Durchführung der Mitarbeiterinterviews zu richten. Die Mitarbeiter sollten für den „Ernstfall“ vorbereitet und für Interviews mit der BaFin geschult werden. Denn die Prüfer kontrollieren stets die Einhaltung der nachfolgenden vier Anforderungen: 1. Reglementierung: Konformität der internen Reglementierung mit den regulatorischen Vorgaben 2. Umsetzung: Konformität der Umsetzung mit der Reglementierung 3. Dokumentation: Vollständige und korrekte Dokumentation aller Reglementierungen und Prozesse 4. Verständnis: Prozess- und Anforderungsverständnis der Mitarbeiter Die Erfahrung im Markt zeigt: Es lohnt sich immer, ein Projekt zur Prüfungsvorbereitung aufzusetzen, unabhängig davon, ob eine Prüfung bereits angekündigt ist. Banken gewährleisten so eine kontinuierliche „Prüfungs-Readyness“ und befinden sich damit auf der sicheren Seite. Aufgrund der in der Regel kurzen Vorlauffrist ist es meist zu spät, ein ausreichendes Projekt zum Zeitpunkt der Prüfungsankündigung aufzusetzen. Ist dies der Fall, gelangen die Institute meist ins Hintertreffen und werden Getriebene des Prüfungsprozesses. Koordinierter Ablauf kann Geld sparen Sonderprüfungen lassen sich optimal vorbereiten, unterstützen und gestalten, wenn sie in drei Phasen (t Abb. 02) gegliedert und begleitet werden. 1. In der Prüfungsvorphase kontaktieren die BaFin und im Anschluss die Prüfer (z. B. die Bundesbank) das Institut. Diese Zeit von rund zwei Wochen sollte zur intensiven Vorbereitung genutzt werden. 2. In der aktiven Prüfungsphase werden Dokumente gesichtet und Mitarbeiterinterviews durchgeführt. In dieser Phase werden Jahres-, Risiko- und sonstige Berichte sowie Prozessdokumentationen geprüft. In den ergänzenden Interviews hinterfragt der Prüfer die Aufgaben der Mitarbeiter und zugehörige Prozessschritte. 3. Zum Prüfungsabschluss wird eine Endsitzung durchgeführt. Hier nimmt das Typische Mängel in der IT IT-Systeme t Tab. 01 • Bekannte Schutzziele der Informationssicherheit werden nicht vollständig erfüllt. • Überprüfungen der IT-Systeme und ihrer Standards im Sinn eines aktiven IT-Risikomanagements sind nicht ausreichend und befinden sich noch im Anfangsstadium. • Besonders bei selbstgeschriebenen Programmen sind die Sicherheitsstufen (Vier- Augen-Prinzip etc.) nicht strikt genug klassifiziert. Zugangs- und Zugriffsrechte • Ausgeschiedene oder langfristig beurlaubte Mitarbeiter haben häufig noch Zugriffsrechte. • Mitarbeiter, die von zu Hause arbeiten, haben Datenzugriff über nicht ausreichend gesicherte Rechner. Sicherheitsmanagement • Die Sicherheitsmanagement ist oft zu allgemein gehalten, ohne auf spezifische Sicherheitsrisiken einzugehen. • Die Sicherheitsrisiken werden zwar beschrieben, jedoch fehlen die konkreten Maßnahmen für die Situationen. Notfallmanagement • Zu den Notfallplänen fehlen meistens die entsprechenden durchgeführten Notfallübungen mit Dokumentation. • Das Notfallsystem ist nicht in sich schlüssig mit den aufgezeigten Notfällen, Lösungen und Tests. Sourcing-Management • Ausgelagerte Unternehmensteile sind häufig nicht in die Sicherheitsstrategie integriert. Somit existiert keine einheitliche, zentrale Risikostrategie. • Die Zusammenarbeit mit dem Provider erfüllt nicht alle gesetzlichen Anforderungen. Prozess- und Anforderungsverständnis • Mitarbeiter wissen nicht, warum Reglementierungen notwendig sind und implementiert wurden. • Mitarbeiter halten sich nicht an die vorgegebenen Arbeitsanweisungen. Strategie • Besonders Verbund-Banken verfügen lediglich über eine Muster-IT- und Risikostrategie, die nicht auf die bankspezifischen Erfordernisse eingeht. Institut Stellung zu bemängelten Punkten und kann damit Beanstandungen vermeiden. Die Durchführung muss während der drei Phasen in allen relevanten Institutsbereichen unterstützt und gesteuert werden. Im Idealfall übernimmt das eine zentrale Koordinations- und Evidenzstelle, die meistens in der Revision angesiedelt ist. So sind alle An- und Rückfragen, Lieferungen und Termine an einer Stelle transparent und können tagesaktuell an alle Beteiligten kommuniziert werden. Wenn ein Vorprojekt zur Prüfungs-Readyness richtig abgelaufen ist, lassen sich während der eigentlichen Prüfungsphase folgende Aspekte einfacher managen. Feststellungen und in der Konsequenz aufwändige Folgeprojekte können insbesondere durch folgende, vorbereitende Maßnahmen verhindert werden: • Zusammenstellung der vorab und während der Prüfung angeforderten Unterlagen • Auswahl und Schulung der zu interviewenden Mitarbeiter • Begleitung der Mitarbeiter bei den Interviews • Anfertigung von Prüfungsprotokollen, um Mängel während der Prüfung zu beheben • Besprechung der Prüfungsprotokolle mit den Prüfern, um sich auf die Endsitzung vorzubereiten Eine dreistellige Anzahl angeforderter Dokumenten ist nicht ungewöhnlich.

23 Dazu zählen allgemeine Unterlagen (z. B. Organigramme, Stellenbeschreibungen, Prozessdokumentationen, Sitzungsprotokolle, Risikoberichte), IT-Unterlagen (z. B. Dokumentationen zur Benutzerrechtevergabe, Notfallpläne, IT-Architekturbilder) und Revisionsunterlagen (z. B. Prüfungspläne, Prüfungsberichte, Qualifikationsnachweise der Revisionsmitarbeiter). Die Dokumente sollten schon vor ihrer Zustellung auf Vollständigkeit und Korrektheit geprüft werden. IT-Prüfungskategorien Wie eingangs erwähnt, ist die IT separat oder als Teil fachspezifischer Prüfungen stets betroffen. Die wesentlichen IT-Prüfungskategorien umfassen erfahrungsgemäß Organisation, Systemmanagement, Sicherheitsmanagement und Sourcing- Management. Organisation Die IT-Organisation umfasst die Definition und personelle Ausgestaltung der Aufbauund Ablauforganisation im IT-Bereich. Im Rahmen einer separaten IT-Prüfung könnte deren Angemessenheit (z. B. in Hinblick auf Anzahl und Qualifikationsniveau der Mitarbeiter) bewertet werden. Geht es über die IT-Organisation hinaus, so ist die Kernfrage der Prüfer in der IT, ob sich die technisch-organisatorische Ausstattung an den Geschäftsaktivitäten und der Risikosituation orientiert. Wichtiger Prüfungspunkt ist dabei üblicherweise das Berechtigungskonzept für Infrastruktur, Anwendungen und Daten. Systemmanagement Ein weiteres Kernanliegen von Prüfungen liegt in der Sicherstellung, dass IT-Systeme ihren Anforderungen entsprechend entwickelt, getestet und eingesetzt werden. Die lückenlose Dokumentation der fachlichen und technischen Systemanforderungen sowie deren regelmäßiger Abgleich mit regulatorischen Vorgaben ist somit stets sicherzustellen. Darüber hinaus interessieren sich die Prüfer für die Regelprozesse für Entwicklung, Test und Inbetriebnahme. Sicherheitsmanagement Das Sicherheitsmanagement befasst sich im Wesentlichen mit der systematischen Erkennung, Bewertung und Überwachung von Risiken. Prüfungsziel ist wiederum sicherzustellen, dass bestehende Methoden und Abläufe angemessen sind. Das beinhaltet unter anderem die Ausarbeitung und Implementierung zentraler Notfallkonzepte, um die Aufrechterhaltung der kritischsten Geschäftsprozesse bei einem Systemausfall zu gewährleisten. Dass der Vorstand regelmäßig über die aktuelle Risiko- bzw. Sicherheitslage informiert ist, wird ebenso vorausgesetzt wie die Annahme, dass die Mitarbeiter mit den IT-Sicherheitsstandards und Notfallkonzepten vertraut sind. Sourcing-Management Ausgelagerte Bereiche und zugehörige Unternehmensteile müssen auf Gruppenebene in das zentrale IT-Management integriert sein. Im Vordergrund steht die Einhaltung sämtlicher regulatorischer Vorgaben bei der Zusammenarbeit mit einem externen Provider. Dies beinhaltet zum Beispiel klare Verantwortlichkeiten für die Steuerung und Überwachung des Providers sowie die Sicherstellung der vollen Geschäftsfähigkeit bei Beendigung der Zusammenarbeit. Vielen Instituten ist diese gesamthafte Prüfung der IT nicht bewusst. Der Gesamtblick und zusammenwirkende Abhängigkeiten – beispielsweise die Abstimmung von Risikostrategie und Notfallkonzepten des Instituts (Sicherheitsmanagement!) mit denen eines externen Providers (Sourcing-Management!) – sollten durch die im Institut betrauten Personen zur Prüfungsbegleitung beherrschbar sein. q Fazit Ein Handeln des betroffenen Instituts nach Prüfungsankündigung ist meist zu spät. Die Folgen einer schlecht laufenden Prüfung Ablauf der Sonderprüfung t Abb. 02 ~1. Woche ~2.Woche ~3.Woche ~4.Woche ~5.Woche Prüfungs-Vorphase BaFin Schreiben BuBa Schreiben Aktive Prüfungsphase Vorab geforderte Dokumente Berichtsüberprüfung und Interviews Prüfungs-Abschluss Endsitzung Berichtsüberprüfung Interview-Durchführung Reglementierung Sichtung der Berichte (Jahres-, Risiko-, externe Berichte etc.) und internen Reglementierungen der letzten 2-5 Jahre Dokumentation Überprüfung der Dokumentation aller Reglementierungen und durchgeführten Prozesse Umsetzung Interview-Fragen zu den Arbeitsaufgaben und dazugehörigen Arbeitsschritten Verständnis Interview-Fragen zu den Gründen für die durchgeführten Arbeitsschritte und angewandten Reglementierungen

RISIKO MANAGER

 

Copyright Risiko Manager © 2004-2017. All Rights Reserved.