IT-Governance ist wichtiger Teil eines funktionierenden Risikomanagements

Die Wertschöpfung von Banken hängt in sehr hohem Maße von der Informations- und Kommunikationstechnik (IKT) sowie dem Management der inhärenten Risiken ab. Wenig verwunderlich, dass dieser Bereich immer stärker in die Prüfungsschwerpunkte der Aufsicht einfließt. Aber auch beim großen Zukunftsthema ESG wird IKT zum Schlüsselfaktor für den Beitrag der Banken zum ökologisch nachhaltigen Wandel der Gesellschaft. Denn ohne Digitalisierung und effektives Data-Management ist eine Umsetzung der Anforderungen an die Steuerung von Nachhaltigkeitsrisiken unmöglich. Die Beherrschung von IKT-Risiken und eine gute Data Governance sind somit eine Grundvoraussetzung für ein umfassendes ESG-Risikomanagement in der Finanzbranche.

IKT-Risiken stehen im Fokus der Data Governance

Bereits im Juli 2014 betonte die European Banking Authority (EBA) die Bedeutung von IKT-Risiken im Supervisory Review and Evaluation Process (SREP). Im Mai 2017 initialisierte die EBA ein separates IT-SREP-Verfahren für bedeutende – Significant Institutes (SI) – und weniger bedeutende – Less Significant Institutes (LSI) – Banken. Dadurch erweiterte sich die Risikolandkarte. Ende Oktober des gleichen Jahres wurden die Mindestanforderungen an das Risikomanagement dahin gehend überarbeitet und die Vorschriften des § 25a Kreditwesengesetz (KWG) gemeinsam mit den Bankenaufsichtlichen Anforderungen an die IT (BAIT) prinzipienbasiert konkretisiert. Die neue EU-Verordnung Digital Operational Resilience for the financial sector and Amending regulations (DORA – EU-Verordnung 2022/2254) und die enthaltenen Anpassungen weiterer Richtlinien stellen das Beherrschen von IKT-Risiken ebenfalls in den Mittelpunkt – und zusätzlich dazu noch die quantitative Bemessung im Rahmen operationeller Risiken. Die Grundprinzipien dürften jedoch bereits in den BAIT und den MaRisk verankert sein.

Zentrale, materielle Bedeutung

Banken müssen das

  • IKT-Verfügbarkeits- und Kontinuitätsrisiko,
  • IKT-Sicherheitsrisiko,
  • IKT-Änderungsrisiko,
  • IKT-Datenintegritätsrisiko und
  • IKT-Auslagerungsrisiko

aufgrund ihrer Bedeutung als materiell bedeutendes, wesentliches Non Financial Risk bewerten und steuern. Dies gilt sowohl für den Wertschöpfungsprozess als auch im SREP.

Die aufsichtliche Bewertung des SREP zur Einschätzung der Risikoprofilnote nimmt insbesondere die IT-Governance und IT-Strategie der Banken sehr genau unter die Lupe. Ein Assessment beurteilt die Funktionsfähigkeit und Sicherheit der IKT hinsichtlich ihrer Angemessenheit. Mängel ziehen gegebenenfalls Sanktionen in Form von einer höheren Risikoprofilnote und/oder Kapitalzuschlägen nach sich. Da sich SREP-Zuschläge als Risk-Weighted-Assets-Äquivalent (RWA) in der Säule II niederschlagen, lassen sich diese unter anderem als Materialitätskriterien zur Beurteilung der Wesentlichkeit von IKT-Risiken heranziehen. Dies vor allem im Hinblick auf die Vermögens- und Finanzlage im Rahmen der Risikotragfähigkeitsbetrachtung des Instituts.

Internes Kontrollsystem und IT-Governance

Durch die fortschreitende Digitalisierung der Geschäftsprozesse und Wertschöpfungsketten wächst die Bedeutung der Risiko- und Kontrollstruktur im Rahmen des internen Kontrollsystems (IKS). Das Beherrschen und Steuern von IKT-Risiken ist nicht nur eine aufsichtsrechtliche Anforderung, sondern Kernelement der Risiko- und Geschäftsstrategie. Eine effektive Kontrolle durch die Geschäftsleitung im Rahmen der IT-Governance sowie eine Verankerung im Risikokulturprozess und Risk Appetite Framework (RAF) der Bank muss sichergestellt sein. Die einzelnen Aufgabenstellungen, Schnittstellen und Verantwortungsbereiche des IKT-Managements sind prozess- und funktionsübergreifend für eine funktionierende Data Governance verantwortlich. Das Three-Lines-of-Defence-Modell (TLoD) zur Abbildung von Aufbau, Zusammenwirken und Koordination innerhalb des IKS ist ein entscheidendes Element der Unternehmensüberwachung und -steuerung von IKT-Prozessen.

Self Assessment institutionell verankern

Bei turnusmäßigen Review-Analysen sollte der Schwerpunkt auf der Beurteilung der Funktionsfähigkeit und Effektivität des TLoD-Modells zur Steuerung der IKT-Risiken liegen – dies grundsätzlich unter Berücksichtigung von Angemessenheit und Risikokonzentrationen. Im Anschluss lassen sich entsprechend dem Risikoprofil institutsspezifische Handlungsbedarfe ableiten, um die Funktionsfähigkeit zu gewährleisten. In der Praxis ist hier das hauptsächlich im OpRisk-Managementprozess implementierte Self Assessment als spezifisches Instrument der Risikoinventur im Einsatz. Die hierfür erforderlichen Prozesse und Methoden sollten proportional zu den Anforderungen des jeweiligen Instituts definiert und in der schriftlich fixierten Ordnung verankert werden.

Erfolgreiches IKT-Risikomanagement mit PPI

Geht es um die Abbildung von Financial und Non Financial Risks im Risikomanagementprozess, stehen wir Banken sowohl bei regulatorischen Fragestellungen als auch fachlich und technisch zur Seite. Dies gilt ebenso für die Formulierung und Umsetzung der IKT-Strategie. Insbesondere im Bereich der IKT-Risiken verfügen wir über umfangreiche praktische Erfahrungen bei der Beurteilung, Messung und Steuerung sowie Einpassung in das IKS.

Können wir Sie unterstützen?

 Andreas Bruckner

Andreas Bruckner

Senior Manager

Kontakt
 Mario Sladek PPI AG

Mario H. Sladek

Manager

Kontakt

Das könnte Sie auch interessieren

Modelle und deren Validierung

Modelle zur Quantifizierung von Risiken unter Normal- und Stressbedingungen, zur Preisbildung und Entscheidungsfindung sind in Finanzinstituten fester Bestandteil von Risikomanagement und Banksteuerung. Bei der Auswahl ist es wichtig, die Modelle an die jeweiligen Risiken anzupassen und nicht umgekehrt.

Mehr erfahren

IKT-Risikomanagement

Die fortschreitende digitale Vernetzung von Wirtschaft und Gesellschaft bringt nicht nur Vorteile: Die Zahl der Angriffe auf Unternehmen aus dem Cyberraum steigt kontinuierlich. Finanzdienstleister sind aufgrund ihrer Geschäftsmodelle besonders gefährdet. Leistungsfähige Abwehrmechanismen sind daher ein Muss.

Mehr erfahren

Data Quality

Finanzdienstleister können die täglich anfallenden Datenmengen für viele unterschiedliche Anwendungsfelder nutzen. Voraussetzung: Die Informationen liegen in einer tauglichen Qualität vor. Deren fortlaufende Messung und notwendige Verbesserungen sind die Aufgabe eines modernen Datenqualitätsmanagements.

Mehr erfahren

Compliance Suite

Ohne datengetriebene Compliance-Services ist die Erfüllung der umfangreichen regulatorischen Anforderungen kaum realisierbar. Dazu kommen knappe Ressourcen für die Compliance-Organisation und natürlich der Fachkräftemangel. Moderne Compliance-Suiten bieten in dieser Situation spürbares Entlastungspotenzial.

Mehr erfahren

Modellierung Risikoparameter

Die Entwicklung eines Ratingsystems endet eigentlich erst mit seiner Abschaffung, denn die Modelle gilt es ständig neu zu validiert und weiterzuentwickeln. Neben der Berücksichtigung aller relevanten Änderungen des Geschäftsfelds müssen auch die aktuellen aufsichtlichen Anforderungen Beachtung finden.

Mehr erfahren