Michael Helfer, Geschäftsführer, FCH Consult GmbH
Ein nachvollziehbar dokumentiertes und gesteuertes IT-Risikomanagement stellt als zentraler Fokus der deutschen/europäischen Bankenaufsicht sowie der Abschluss-/Sonderprüfer die Institute vor umfangreiche Umsetzungsherausforderungen. Ein pragmatisches Management der IT-Anforderungen (insbesondere MaRisk & BAIT) sowie die daraus resultierende praktische Umsetzung sind einer der Knackpunkte in aktuellen Projekten (Umsetzung MaRisk & BAIT, aber auch Fachprojekte). Zudem sind weitere Anforderungen wie z. B. IT-Sicherheitsgesetz (ITSiG), BSI-Standards, MaSi, PSD 2 etc. zu berücksichtigen.
Nachfolgend ein kurzer Überblick zu ausgewählten, IT-spezifischen Aspekten (welche oftmals auch noch Schwachstellen darstellen):
- Sicherstellen einer stringenten Konsistenz zwischen Geschäfts- und IT-(Risiko)Strategie durch konkrete Formulierung und Quantifizierung der Ziele („roter Faden”),
- Verknüpfung der Schutzbedarfsanalyse mit dem Management operationeller Risiken („IT-OpRisk als Teilmenge der Gesamt-OpRisk”),
- Festlegen klarer Verantwortlichkeiten: WER ist für WAS im IT-IKS verantwortlich (Prozessverantwortlicher, Orga/IT, Informationssicherheitsbeauftragter) – Erfordernis eines präzisen Rollenmodells,
- Weitgehender Einbezug der IDV – Neues erforderliches Zentralregister sowie zusätzliche Dokumentationserfordernisse durch IDV-Richtlinie „Software-Entwicklungsprozess“.
Darüber hinaus sollte aber auch eine inhaltliche Auseinandersetzung und Verknüpfung mit den
neuen MaRisk-Schwerpunktthemen (Datenmanagement/Risikoberichtswesen, Risikokultur und Verhaltenskodex sowie IT-Auslagerungen) erfolgen.
Zum Schluss noch ein Hinweis auf die aktuellen IT-Sonderprüfungen der Aufsicht. Die Praxis zeigt, dass im Rahmen von 44er-Prüfungen eine Erweiterung der bisher prozessorientierten Prüfungsansätze auch auf die Rezertifizierung der Berechtigungen bei ausgelagerten Prozessen und auch der institutsindividuelle Umgang mit Releasewechseln und Updates (insbesondere der Kernbankanwendungen und steuerungsrelevanter Software) vorgenommen wurde. Insbesondere diese beiden Teilbereiche waren in vielen Häusern in der Vergangenheit nicht im Fokus der Betrachtung, gehören jedoch zum Gesamt-IKS.
PRAXISTIPPS
- Befassen Sie sich ausführlich mit den IT-Neuerungen aus MaRisk und BAIT.
- Dokumentieren Sie IT-Teilprozesse & Kontrollerfordernisse auf der Basis einer Risiko-Kontroll-Matrix. Berücksichtigen Sie dabei auch die ausgelagerten Prozesse.
- Verknüpfen Sie Ihre Schutzbedarfsanalyse mit dem Management operationeller Risiken.
- Klären Sie die Rollen im IT-Risikomanagement (inkl. IKS).
Beitragsnummer: 754