MANAGEMENT BAIT vor,
MANAGEMENT BAIT vor, die zugrunde liegenden Geschäftsprozesse nach den Schutzzielen Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität zu klassifizieren sowie hinsichtlich ihrer Kritikalität zu bewerten. Im Anschluss sind die Risiken kritischer Geschäftsprozesse finanziell zu bewerten. Z Compliance: Die Compliance-Funktion stellt sicher, dass alle Dienstleistungen und Aktivitäten in Übereinstimmung mit den gesetzlichen und internen Regeln ausgeführt werden. Darunter fallen u. a. die MaRisk-Compliance und Kapitalmarkt-Compliance. Letztere trifft zum Schutz von Verbrauchern und Kapitalmärkten Sicherungsmaßnahmen gegen Risiken aus Geschäftsaktivitäten mit Wertpapier(-neben-)dienstleistungen sowie an Börsen- und Rohstoffmärkten. Rechtliche Grundlagen stellen nationale Gesetzgebungen und Auslegungsanforderungen sowie zahlreiche europäische delegierte Verordnungen dar. Die Risiko-Analyse der Kapitalmarkt- Compliance identifiziert potenzielle Risiken aus der Nichteinhaltung interner und externer Vorgaben sowie Defizite aus selbstentwickelten Gefährdungsszenarien in Geschäftsprozessen und Wertpapiergeschäften der Bank. Z Geldwäsche | Zentrale Stelle: Banken sind nach dem Geldwäschegesetz angehalten, angemessene interne geschäfts- und kundenbezogene Sicherungsmaßnahmen zu treffen, um nicht zur Geldwäsche oder Terrorismusfinanzierung missbraucht zu werden. Auf Basis einer Risikoanalyse werden Gefährdungssituationen zur Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen durch vorgegebene Tatbestände sowie selbstentwickelte Gefährdungsszenarien identifiziert. Die Gefährdungsszenarien können auf Geschäftsprozessen aufbauen. Z Notfallmanagement: Nach dem KWG und der MaRisk hat eine Bank für zeitkritische Aktivitäten und Prozesse über ein Notfallkonzept zu verfügen, um die Aufrechterhaltung des Geschäftsbetriebs zu gewährleisten. Das Notfallmanagement hat sich an einem gängigen Standard, z. B. BSI oder ISO-Norm, zu orientieren. In einem ersten Schritt werden durch Business-Impact-Analysen zeitkritische Prozesse ermittelt, die auf kritischen Geschäftsprozessen des IT-Risikomanagements aufbauen können. In einem zweiten Schritt wird die jeweilige Gefährdung für die Geschäftstätigkeit der Bank bei der Unterbrechung eines zeitkritischen Geschäftsprozesses identifiziert und bewertet. Z Auslagerungsmanagement: Das zentrale Auslagerungsmanagement und künftig der Auslagerungsbeauftragte überprüfen neben der Wesentlichkeit ebenfalls das Risiko einer Auslagerung. Im Fokus stehen neben dem Auslagerungsunternehmen primär jedoch die ausgelagerte Aktivität oder der Prozess. Anhand von Risiko-Analysen sind potenzielle Auswirkungen durch eine Beeinträchtigung der ausgelagerten Aktivitäten oder Prozesse auf Kunden, andere Geschäftsprozesse, die Risikosteuerung, das Notfallmanagement, die Informationssicherheit oder die Wirtschaftlichkeit der Bank zu analysieren. Die dargestellten Gemeinsamkeiten zwischen unterschiedlichen Aufsichtsthemen können als Ergebnis in einer Übersicht (ÿ 2) zusammengefasst werden. In der Theorie erscheint die gemeinsame Betrachtung aufsichtsrechtlicher Anforderungen in Instituten nachvollziehbar. Aber wie kann eine Umsetzung erfolgen? Praxisorientierter Ansatz zur Effizienzsteigerung Ein pragmatischer Vorgehensvorschlag zur Verzahnung von Aufsichtsthemen basiert auf den dargestellten Potenzialen zur Effizienzsteigerung und kann, wie in Abbildung ÿ 3 dargestellt, über zehn Schritte erfolgen. Die einzelnen Schritte können je nach Geschäftsmodell variiert werden. 1. Den Ausgangspunkt für die Verzahnung der unterschiedlichen Risiko-Analysen stellt eine einheitliche Absprungbasis anhand einer gemeinsamen Prozesslandkarte in der Bank dar. Die Risikoanalysen bewerten oftmals dieselben Prozesse aus verschiedenen Blickwinkeln. Beispielsweise wird für das IT-Risiko betrachtet, wie Informationen in einem Prozess verarbeitet werden, wohingegen die Zentrale Stelle analysiert, welche sonstigen strafbaren Handlungen in diesem Prozess vorkommen können. Mit Blick auf die Proportionalität von Banken kann die Anzahl der Prozesse durch einen unterschiedlichen Detailierungsgrad gesteuert werden. Im Rahmen des IT-Grundschutzes des BSI können Prozesse entweder in Kern- und Unterstützungsprozesse (die einen höheren Detailgrad zulassen) oder in Geschäftsprozesse (die mit einem End-to-End-Ansatz auf einer höheren Ebene anzusiedeln sind) unterteilt werden. Letzteres führt zwar zu weniger Prozessen, jedoch ist zu prüfen, ob die Schnittmenge für die einheitliche Absprungbasis noch groß genug ist. 28 04 // 2021
MANAGEMENT 2 | Beispielhafte Zusammenfassung 2nd Line Blickwinkel Ausgangsbasis Risiko-Erhebung OpRisk Schutz der Bank Geschäftsprozesse/Ergebnisse der Risikoanalysen Quantitativ (Daten) und/oder qualitativ (Fragen) ISRM Schutz der Bank sowie von Informationen Geschäftsprozesse Quantitativ (Daten) und/oder qualitativ (Fragen) Compliance Schutz der Bank sowie Verbraucher Gesetzliche/aufsichtliche Anforderungen u. a. in Geschäftsprozessen Quantitativ (Daten) und/oder qualitativ (Fragen) Geldwäsche/Zentrale Stelle Schutz der Bank Gesetzliche/aufsichtliche Anforderungen u. a. in Geschäftsprozessen Quantitativ (Daten) und/oder qualitativ (Fragen) Notfallmanagement Schutz der Bank sowie Mitarbeitenden Kritische Geschäftsprozesse Qualitativ (BIA-Fragen) Auslagerungsmanagement Schutz der Bank sowie Kunden Ausgelagerte Geschäftsprozesse und Aktivitäten Quantitativ (SLA) und/oder qualitativ (Fragen) Potenziale zur Steigerung der Effizienz Transparenz Geschäftsprozesse Fragenkatalog und Datenbasis Quelle: Eigene Darstellung. 2. Für die Bewertung der einzelnen Risiken kann eine einheitliche Bewertungsmatrix mit den Dimensionen Schadenshöhe und Eintrittswahrscheinlichkeit in der Bank verwendet werden. Aufbauend auf dem IT-Risiko, das eine Methodik von vier Kriterien mit vier Kategorien verwendet, empfiehlt sich eine einheitliche 4x4-Bewertungsmatrix. Die Quantifizierung der Kategorien „Niedrig“, „Mittel“, „Hoch“ und „Sehr hoch“ hängt von der Art und dem Umfang des Geschäftsmodells ab. Die endgültige Entscheidung für die einheitliche Bewertungsmatrix obliegt dem OpRisk-Management. 3. Die Koordinierung der zeitlichen und fachlichen Abhängigkeiten zwischen Risiko-Analysen eröffnet die Möglichkeit, dass Risiko-Analysen aufeinander aufbauen oder sich die Ergebnisse ergänzen. Beispielsweise baut das Notfallmanagement auf den im IT-Risiko identifizierten kritischen Geschäftsprozessen auf, oder die Ergebnisse der einzelnen Risiko-Analysen dienen als Grundlage für die OpRisk - Inventur. 4. Je nach Betrachtungsweise können Aktivitäten und Prozesse mehr als ein Risiko beherbergen, sodass es sich lohnt, die Fragestellungen für gleiche oder ähnliche Themen von unterschiedlichen Risiko- Analysen aufeinander abzustimmen. Weiterhin können die Prüfergebnisse der Internen Revision oder externer Prüfer einbezogen werden. Für überwiegend quantitative Risiko-Analysen bietet sich eine gemeinsame Datenabfrage auf Basis eines integrierten Datenhaushalts an. Eine Harmonisierung der Datenbasis und des Fragenkatalogs mit spezifischen Ergänzungsfragen kann die Identifizierung von Risiken erleichtern sowie die wiederholte Beantwortung von zum Teil gleichartigen Fragen in den betrachteten Bereichen der Bank vermeiden. 5. Die Durchführung der Risiko-Analysen kann unter Einbindung des Vertriebs und von vertriebsunterstützenden Bereichen in strukturierten Interview-Terminen, Datenauswertungen oder per Fragebögen erfolgen. Eine gemeinsame Erhebung der jeweiligen Risiken kann den Zeitaufwand bei den dezentralen Ansprechpartnern reduzieren und gleichzeitig das Verständnis für die betrachteten Aktivitäten und Prozesse bei allen Beteiligten erhöhen. 6. Eine gemeinsame Bewertungskonferenz bietet den Vorteil, dass insbesondere aufgrund der unterschiedlichen Blickwinkel in den Kontrollfunktionen ein mehrschichtiges Bild der Gesamtrisikolage entsteht. Dazu quantifizieren die beteiligten Kontrolleinheiten und Beauftragten zusammen mit den betroffenen Bereichen die jeweiligen Risiken. So kann beispielsweise das Gesamtrisiko von Projekten in einer Bank durch Teil-Quantifizierungen für erhobene Rechts-, Kosten-, Personaloder Verhaltensrisiken transparent und nachvollziehbar dargestellt werden. Ebenfalls können Diversifizierungseffekte zwischen einzelnen Risiken zu einer adäquateren Schätzung des OpRisks beitragen. Je nach Größe der Bank können die Schritte 5 und 6 zusammengelegt werden. Die Ergebnisse der Bewertungskonferenz können in die Risikomessung des operationellen Risikos überführt werden, sodass das OpRisk-Management lediglich die von den anderen Kontrolleinheiten nicht betrachteten Risiken der Bank identifizieren und bewerten muss. Abschließend fließen die Summe aller Risiken der Second Line of Defense in die Berech- 04 // 2021 29
