Aufrufe
vor 2 Jahren

die bank 09 // 2021

  • Text
  • Wwwbankverlagde
  • Institut
  • Deutschland
  • Deutsche
  • Markt
  • Digitalisierung
  • Deutschen
  • Banking
  • Unternehmen
  • Institute
  • Banken
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

DIGITALISIERUNG ZUNAHME

DIGITALISIERUNG ZUNAHME VON CYBER-RISIKEN BANKEN SIND AUF DIGITALE RISIKOMANAGEMENTSYSTEME ANGEWIESEN Modernes Banking ist digital. Eine leistungsstarke IT- Plattform und effiziente IT-Prozesse sind der Erfolgstreiber für die Geschäftsmodelle der Zukunft. Die Anforderungen an das IT-Management der Banken sind immens. Neben strikter Kostenkontrolle rücken angesichts der Bedrohung durch Cyber-Angriffe Informationssicherheit und IT-Risikomanagement verstärkt in den Fokus. Die Institute sehen sich mit immer strengeren, zunehmend technischen regulatorischen Vorgaben (BAIT, EBA, Ma- Risk, ISO) und mit strikterer Auslegung sowie effektiven Umsetzungskontrollen im Rahmen von Sonderprüfungen konfrontiert. Verantwortliche im IT-Management benötigen daher zukünftig, quasi auf Knopfdruck, vollständige Transparenz über das aktuelle IT-Risiko bzw. die Gefährdungssituation ihrer Organisationen – und zwar als Gesamtüberblick mit Wechselwirkungen, Abhängigkeiten, Redundanzen, um effektiv steuern zu können. Der Impact von Veränderungen regulatorischer Rahmenbedingungen sollte sofort sichtbar und effektive Maßnahmen zur Umsetzung der neuen Vorgaben und Mitigation der institutsspezifischen Risikoposition ableitbar sein. Aufgrund der herrschenden Komplexität der IT-Strukturen der Häuser und der anwendbaren Regulierung bietet ein Framework Digital Regulatory Compliance (DIRC) mit leistungsstarker Softwareunter- stützung (Plattformtechnologie) hierbei erhebliche Effizienzvorteile. Bankenaufsicht reagiert auf Bedrohung durch Cyber-Risiken Das Spielfeld für Banken hat sich nicht nur aufgrund der anhaltenden Corona-Krise in den letzten Jahren signifikant verändert. Mit zunehmender Digitalisierung der Geschäftsmodelle steigen die Risiken von schweren Cyber-Attacken signifikant. Die Bankenaufsicht reagiert entsprechend und stellt die Verbesserung eines ganzheitlichen bzw. gesamtsystemischen Risikoverständnisses/-managements in den Mittelpunkt künftiger Bankenregulierung. Die Finanzaufsicht BaFin schrieb im August 2021 in einem Fachartikel: „Darüber hinaus war es BaFin und Deutscher Bundesbank wichtig, in den BAIT dem Ziel der Informationssicherheit zu folgen und nicht dem – enger gesteckten – Ziel IT-Sicherheit. Klassische IT-Sicherheit beschränkt sich auf das Handlungsfeld Informationstechnik, während Informationssicherheit den Schutz von relevanten Informationen zum Ziel hat, gleichgültig, in welcher Form sie vorliegen. Das Handlungsfeld der Informationssicherheit schließt somit alles ein, was im Zusammenhang mit Informationsverarbeitung steht. Im Hinblick auf das Informationssicherheits- und Informationsrisikomanagement (ISM/IRM) wird deutlicher, dass die betroffenen Unternehmensprozesse ihre Wirkung für die gesamte Organisation entfalten müssen und es nicht ausreicht, allein den IT- Betrieb und die Anwendungsentwicklung mit angemessenen Ressourcen auszustatten.“ Die BAIT machen zum Beispiel klar, „dass die Institute ein umfassendes Programm zur Schulung und Sensibilisierung der Beschäftigten für das Thema Informationssicherheit entwickeln müssen“, so die Finanzaufsicht weiter. Eine ganzheitliche Betrachtung End-to-End über alle Geschäftsprozesse hinweg schließt z. B. auch die Informationsverarbeitung durch Dritte ein. Aus 62 09 // 2021

DIGITALISIERUNG diesem Grund wird auch das Auslagerungsmanagement verstärkt reguliert. Risikomanagement in Banken muss damit zukünftig in noch viel stärkerem Maße ganzheitlich ausgerichtet sein, um Abhängigkeiten zwischen Risiken übergreifend erkennen, bewerten und angemessen steuern zu können. Die Verantwortung liegt bei der obersten Leitungsebene, die den Überblick über die aktuelle Gesamtrisikosituation ihrer Institute und eine angemessene Risikosteuerung sicherstellen muss. Die Wahl von Prüfungsschwerpunkten, Perspektiven innerhalb der Prüfungen und die Auslegung von Abweichungen (Feststellungen), z. B. bei aufsichtsrechtlichen Prüfungen nach § 44 KWG, untermauern die wachsende Bedeutung integrierter Risikomanagementsysteme für Banken. Der Trend zu einer zunehmend ganzheitlichen Prüfungspraxis sollte sich über alle prüfenden Bereiche hinweg – von der internen Revision über externe WirtschaftsprüferInnen bis zur Aufsicht – etablieren. In der Praxis vielfach noch vorhandene Insellösungen für einzelne Risikofunktionen, wie z. B. Informationssicherheit, Business Continuity, Outsourcing etc., sollten deshalb aufeinander abgestimmt bzw. lückenlos ineinander verzahnt ÿ 1 und sukzessive in integrierte Risikomanagementsysteme überführt werden. Aktives Risikomanagement gefragt Die stärkere Verzahnung der Risikofunktionen ist nicht nur im Hinblick auf die aktuelle Gefährdungslage und Prüfungspraxis geboten, sondern für Banken auch im Hinblick auf Effizienzverbesserungen hochgradig sinnvoll. Aktives Risikomanagement erfordert neben risikorelevanten Daten eine angemessene Bewertung der aktuellen Risikoposition, um effektive Maßnahmen zur Risikomitigation zu definieren und umsetzen zu können. Im Status quo erstellen risikosteuernde Funktionen – unabhängig voneinander – Analysen, Vorgaben, Arbeitsanweisungen und führen Kontrollhandlungen durch, die zu einer Mehrfachbelastung betroffener Fachbereiche führen und erheblichen Konsolidierungs- und Abstimmungsbedarf nach sich ziehen. Im Bereich Informationssicherheit (ISM) sind Bedrohungs-/Struktur-/Schutzbedarfsanalysen durchzuführen und im Business-Continuity-Management (BCM) Geschäftsprozess-/Business Impact-/Risikoanalysen. Im Auslagerungsmanagement sind Kategorisierung, Due Diligence und Risikoanalyse erforderlich. Ziele und methodisches Vorgehen sind meist ähnlich, der Unterschied liegt in der inhaltlichen Ausprägung. Dies führt oftmals zu Redundanzen, Inkompatibilitäten oder Widersprüchen, verbunden mit einem hohen Verwaltungsaufwand. Organisationen werden durch die Fokussierung auf interne Anforderungen langsamer und haben nicht die Ressourcen und Kapazitäten, um zukunftsgerichtete Themen wie z. B. Serviceorientierung in der IT umzusetzen. Banken werden folglich nicht unbedingt durch eine zu umfangreiche und überfordernde Regulierung belastet und beschnitten, sondern oftmals mehr durch die ineffiziente Umsetzung in den jeweiligen Bankorganisationen. Moderne Risikomanagementsysteme integrieren deshalb Risikofunktionen und setzen gezielt Softwarelösungen ein, um IT-Risiken effektiver steuern und Kosteneffizienzen heben zu können. Digitalisierung der regulatorischen Compliance Ein praxiserprobter Lösungsansatz ist die Implementierung eines Frameworks DIRC Digital Regulatory Compliance, d. h. die integrierte Abbildung bankfachlicher Prozesse, Methoden und Strukturen auf einer techni- 09 // 2021 63

die bank