neu

MaRisk-Novelle: Stabilere Banken dank IT-Fokus

Die Novelle der "Mindestanforderungen an das Risikomanagement" (MaRisk) für Finanzinstitute rückt IT-Risiken, Auslagerungen und Datenmanagement ins Blickfeld der Bankenaufsicht. Der Fokus auf IT trägt zur Stabilität des Finanzsektors bei.

Finanzinstitute unterliegen dem Bundesamt für Finanzdienstleistungen (BaFin) - und das hat in seiner letzten Novelle der "Mindestanforderungen an das Risikomanagement" vom vergangenen Herbst einen deutlichen Schwerpunkt auf IT gelegt. Die Arbeit der CIOs im Bankenwesen wird damit endlich gestärkt.

Doch was bedeutet die Novelle ganz konkret? Die IT-Berater André Mertel und Christian Dietzmann werfen einen Blick auf die ersten Erfahrungen und wagen Prognosen, worauf Finanzinstitute in Zukunft besonders achten müssen.

Fokus IT-Risiken: Business-Impact-Analyse wird zum Muss

Die MaRisk fordern von Finanzinstituten zukünftig zentrale Risikoüberwachungs- und Risikosteuerungsprozesse für IT-Risiken - und umfassen neuerdings auch Sicherheitsanalysen selbst entwickelter Software.
Um ein Steuerungssystem einzuführen, empfiehlt sich im ersten Schritt eine Schutzbedarf-Analyse. Zudem sollten Finanzinstitute mittels einer Business-Impact-Analyse (BIA) der Geschäftsprozesse und IT-Systeme Sicherheitsanforderungen ableiten. Im Zuge der BIA erhält man zudem einen Überblick der im Alltag gelebten Prozesse und benötigten Ressourcen sowie der Auswirkungen von IT-Systemen auf Geschäftsprozesse. Auf diese Weise können Institute unternehmenskritische Prozesse und Systeme identifizieren und entsprechende Sicherheitsmaßnahmen ableiten. Im Anschluss können Banken die Maßnahmen und Ressourcenanforderungen in die Geschäftsfortführungs- und Wiederanlaufpläne des Notfallkonzepts implementieren. So werden Schäden bei Systemausfällen oder -unterbrechungen so gering wie möglich gehalten - die Institute rüsten sich für Krisenzeiten.

Resultat: Das Ergebnis sollte ein aktueller IT-Bebauungsplan sein, um die Auswirkungen spezieller IT-Systeme auf die Geschäftsprozesse bemessen zu können. Generell müssen IT-Systeme und -Prozesse mittels gängiger Standards wie der Informationssicherheits-Norm ISO 27001 ausgestaltet sein und etwa ein Berechtigungsmanagement zur Vermeidung von Interessenkonflikten einführen. Zusätzlich sollten Finanzinstitute zum Beispiel geschäftskritische Plattformen in das Notfallkonzept integrieren und Maßnahmen zum Umgang mit entsprechenden Notfallszenarien definieren.

Fokus Auslagerung: Klarheit beim Betrieb von Software durch Dritte

Ein weiteres zentrales Element der MaRisk ist der Fremdbetrieb von Software und die Auslagerung ganzer Geschäftsprozesse. Läuft ein Prozess extern ab, gilt dies immer als Auslagerung. Für große Finanzinstitute mit hohem Outsourcing-Anteil ist daher ein sogenanntes Auslagerungsmanagement verpflichtend. Denn die Übernahme des Regelbetriebs durch den Dienstleister muss von Beginn an durch geeignete Governance-Strukturen, Kompetenzen und ein geregeltes Projekt-Reporting sichergestellt werden. Service Level Agreements (SLAs) regeln, wann und wie Leistungen zu erbringen sind. SLAs enthalten die Rechte und Pflichten der Vertragsparteien im Falle der Nicht-Einhaltung. Die Steuerung der Dienstleister - und damit letztlich der ausgelagerten Prozesse - sollte prinzipiell über ein fachlich und technisch versiertes Providermanagement erfolgen. Das kann zur Herausforderung werden, weil Finanzinstitute das nötige Wissen mitbringen müssen. Software-Lösungen können wiederum bei der Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation von Risiken unterstützen. Im Sinne des Business Continuity Managements müssen darüber hinaus Ausstiegsstrategien und Handlungsoptionen - etwa für den Totalausfall eines Dienstleisters - definiert und Ausstiegsprozesse für den Ernstfall implementiert werden. Prinzipiell sollte die Dienstleister-Steuerung in ein Qualitätsmanagementsystem integriert werden.

Resultat: Eine erfolgreiche Auslagerung beginnt unserer Erfahrung nach bereits in der Transitions- und Transformations-Phase. Daher empfehlen wir, den Outsourcingzyklus gemäß DIN ISO 37500 einzuhalten. Generell ist ein effektives Business Continuity Management für Finanzinstitute von höchster Priorität.

Fokus Risikodatenaggregation:

Neben der Betrachtung von IT- und Auslagerungsrisiken stellen die MaRisk erhöhte Anforderungen an Qualität, Konsistenz und Auswertung der Daten. Die Risikodatenaggregationsfähigkeit ist für systemrelevante Finanzinstitute, sogenannte SIFIs ("systemically important financial institutions"), verpflichtend. Für alle anderen Institute besteht zumindest eine Empfehlung seitens der BaFin. Betroffene Institute müssen die Hochverfügbarkeit von Risikodaten wie Adressenausfallrisiken, aggregiertes Exposure oder Kontrahenten-, Marktpreis- und Liquiditätsrisiken sicherstellen, um in Stressphasen schnell ein Lagebild generieren zu können. Zudem müssen die Risikodaten auf Länder-, Geschäftsfeld- und Branchenebene sowie nach weiteren Kategorien auswertbar sein.

Resultat: Systemrelevante Finanzinstitute benötigen ein strukturiertes Datenmanagement. Hierbei sind auch die neuen Datenschutz-Anforderungen der neuen EU-Datenschutzgrundverordnung zu beachten. Außerdem müssen die Daten-Richtlinien der Finanzinstitute an die neuen Anforderungen der MaRisk angepasst und manuelle Eingriffe reduziert werden.

Langfristige Stabilität

Die Anforderungen der MaRisk-Novelle verdeutlichen, dass eine effiziente, nachhaltige und sichere IT-Organisation heute das Herzstück eines jeden Finanzinstituts ist. Denn jederzeit und überall verfügbare Informationen sind die wichtigsten Assets des Finanzsektors und sorgen für Transparenz. Anders kann die langfristige Stabilität des Bankenwesens nicht gewährleistet werden.

Über die Autoren

André Mertel ist Head of Advisory bei EWERK Consulting mit langjähriger Expertise in der IT-Beratung von Finanzinstituten, insbesondere im Risikomanagement und im IT-Outsourcing.

Christian Dietzmann ist Consultant bei EWERK Consulting mit Fokus auf IT-Compliance.

Author image
Hilft Unternehmen auf die Sprünge, besser und sicherer zu werden.
Leipzig