Dienstag, 28. Februar 2017

Aspekte der Umsetzung Risikosteuerungs- und –controllingprozesse für IT-Risiken

Die grundsätzliche Definition von Sollmaßnahmen ist etwa bei den Häusern der beiden großen Finanzverbünde in der Regel der Fall. In der Sparkassen-Finanzgruppe werden generische Sollmaßnahmen häufig bereits im Leitfaden zur Schutzbedarfsfeststellung berücksichtigt. Dies gibt die verbundspezifische Interpretation des Standards DIN:ISO 27001 für Informationssicherheit „Sicherer IT-Betrieb“ vor. Aber auch hier wurde erkannt, dass dies nicht ausreichend ist. Daher wurde im vergangenen Jahr mit einer Weiterentwicklung in Bezug auf die Detaillierung von Sollmaßnahmen begonnen. Ähnliches gilt in der Genossenschaftsorganisation. Nach der Fusion der beiden Rechenzentren Fiducia IT AG und GAD eG zur Fiducia & GAD IT AG wird die verbundspezifische Interpretation „SOIT“ ebenso eine Vielzahl von Referenzmaßnahmen enthalten, für die durch jedes Institut ein kompletter Soll-Ist-Abgleich vorzunehmen ist.

Vor diesem Hintergrund besteht für diese Institute der turnusmäßige und anlassbezogene Bedarf zur Überprüfung der eigenen Vorgehensweise und zum Komplettabgleich. Es ist die Frage zu beantworten, ob angemessene Maßnahmen in Abhängigkeit von der Schutzbedarfsfeststellung definiert sind, wo von den Referenzmaßnahmen abgewichen wird und welche Risiken daraus resultieren. Ohne die vor einigen Jahren noch von zahlreichen Instituten und Verbänden verneinte vollständige Durchführung eines solchen Soll-Ist-Abgleichs mit entsprechender Dokumentation ist das Vorgehen weder materiell noch bankenaufsichtsrechtlich haltbar.

Anders sieht es dagegen vielfach bei kleineren Spezialinstituten aus – hier fehlen entsprechende Grundsatzvorgaben und -arbeiten eines gemeinsamen Mehrmandantendienstleisters Rechenzentren oder sind zu schwach ausgeprägt…. auch hier bleibt nur die dann allerdings koordinationsintensivere Aufgabe, diesen Referenzkatalog vor dem Hintergrund von und partiell auch im Dialog mit den wesentlichen Dienstleistern zu erarbeiten, was oft zu erheblichen Aufwänden beiträgt, speziell dann, wenn es sich um Dienstleister mit entsprechender Marktmacht handelt.

Exemplarische Aspekte der Umsetzung in der Praxis


Unmittelbar einleuchtend ist, dass die individuelle Definition von Sollmaßnahmen in Abhängigkeit vom Schutzbedarf und vom jeweiligen Schutzobjekt vorzunehmen ist, also z. B. Anwendung A, System B oder Raum C. Die Maßnahmen zum Schutz eines Serverraums sind andere, als zum Schutz eines Servers oder einer Anwendung. Diese sind im Rahmen einer Strukturanalyse zu erfassen, ohne die die Umsetzung eines Informationssicherheits-Regelkreises undenkbar ist. Zur Vereinfachung ist es dabei jedoch sinnvoll, Gruppen zu bilden. So könnte beispielsweise eine Zusammenfassung aller relevanten Maßnahmen für Räume und Gebäude in Abhängigkeit von der Schutzbedarfsfeststellung vorgenommen werden. In der Praxis stellt sich jedoch die Herausforderung, dass ein IT-Verteilerraum anders zu schützen ist, als ein Serverraum oder ein Archiv. Daher ist hier die Definition eines Sicherheitszonenkonzepts zielführender als die Definition von generischen Sollmaßnahmen je Raum in Abhängigkeit vom Schutzbedarf. Dabei werden die Raumtypen in Sicherheitszonen eingeteilt und die jeweiligen physischen und organisatorischen Maßnahmen pro Zone definiert.

Da in Instituten bereits etliche Anweisungen und Konzepte bestehen, z. B. eine Passwortrichtlinie oder  ein Virenschutzkonzept, würde ein einzelner Katalog von Sollmaßnahmen in Abhängigkeit vom Schutzbedarf aufgrund der redundanten Informationen zu Doppelarbeiten führen. Daher ist es praktikabler, wenn sich die Sollmaßnahmen in einer sinnvoll definierten und aus der Informationssicherheitsleitlinie über Leitfäden und Prozesse abgeleiteten Struktur von unterschiedlichen Regelungen widerspiegeln, die jeweils den Schutzbedarf berücksichtigen. So kann ein Betriebshandbuch für die Virtualisierungsplattform Vorgaben für Gastsysteme in Abhängigkeit vom Schutzbedarf enthalten, während die Passwortrichtlinie Vorgaben je Einsatzszenario (Domäne, mobile Geräte, Anwendungen) enthält. Würden über generische Sollmaßnahmen ohne Berücksichtigung des Schutzbedarfs pauschale Forderungen aufgestellt, die individuelle Einsatzszenarien nicht berücksichtigen können, ergäben sich in der Folge ansonsten viel zu viele Abweichungen von den Sollmaßnahmen. Diese wären im Informations-Risikomanagement jeweils individuell zu bewerten und würden unnötige Zusatzaufwände und Belastungen der Risikobudgets verursachen.

Von der Risikoanalyse zum Informationsrisikomanagement


Für Prüfer weist gerade die Überleitung der Erkenntnisse des Informationssicherheitsmanagements ins Risikocontrolling und damit deren Integration in die Gesamtbank-Risikosteuerung erhebliche Schwachstellen auf. Gängige Feststellungen sind:
  • Fehlende Konsistenz der Steuerungskreise
  • Fehlende Konsistenz mit dem Prozessmanagement
  • Fehlende Konsequenz in der Umsetzung analytischer Schlussfolgerungen
  • Fehlende Operationalisierung
  • Fehlende Verbindung der IT-Steuerung/ des Informationssicherheitsmanagements mit dem Risikocontrolling

Auch hierzu werden die BAIT daher eine klare Anforderung enthalten:

„Die Risikoanalyse (Schadenspotenzial und Schadenshäufigkeit) erfolgt auf Grundlage eines Vergleichs der Referenzmaßnahmen mit den jeweils wirksam umgesetzten Maßnahmen….. Die akzeptierten und genehmigten Restrisiken werden überwacht und in den Prozess des Managements der operationellen Risiken überführt.“

Fazit


Auf Grund der immer weiter zunehmenden Bedeutung der IT in den Instituten nimmt die Bedeutung der Informationssicherheit und des Informationsrisikomanagements ebenfalls immer mehr zu. Bereits aus allgemeinen betriebswirtschaftlichen Überlegungen heraus dient eine effiziente Umsetzung der erforderlichen Schutzmaßnahmen und deren Integration in die Prozesse des Risikomanagements, des Internen Kontrollsystems und der bankfachlichen Prozessgestaltung der Sicherung der Wirtschaftlichkeit sowie der Einhaltung der aufsichtsrechtlichen Vorschriften und ist an sich bereits heute in den MaRisk, erst recht aber mit In-Kraft-Setzung der nächsten MaRisk-Novelle und der BAIT zwingend vorgeschrieben. Vor dem Hintergrund der Komplexität der Materie und der betriebswirtschaftlichen Folgekosten kommt dabei einer effizienten und methodisch zukunftsfesten Umsetzung zentrale Bedeutung zu. Dies ist durch geeignete Konzeption und Koordination der Maßnahmen sicher zu stellen. Erfreulicherweise sind entsprechende good practice und Methodenerfahrung zwischenzeitlich hierfür vorhanden.

Robert Kaltenböck, Abteilungsleiter IT-Consulting, Deutscher Sparkassenverlag
Dr. Ralf Kühn, Wirtschaftsprüfer/ CPA, ebenso CIA/CISA, Geschäftsführer Audit GmbH Karlsruhe Stuttgart WPG

Kontaktdaten:
Fon: 0711 222 13-14 83

Freitag, 23. Dezember 2016

Risikokultur und IT-Steuerung

Operationelle IT-Risiken und deren aufsichtsrechtliche Behandlung im Rahmen von Prüfungen nach § 44 KWG haben deutlich an Bedeutung gewonnen, wobei im Fokus ein handhabbares und risikobegrenzendes System des Managements operationeller IT-Risiken steht. Bei richtiger Umsetzung kann aber auch eine stärkere Fokussierung der jeweiligen Bank auf straffe, klar definierte und revolvierend optimierte Geschäftsprozesse folgen, die durch die IT optimal unterstützt werden. Die Bank kann so trotz des mit der Umsetzung oder Nachjustierung der IT-Risikomanagementsysteme verbundenen Aufwands auch betriebswirtschaftlich gewinnen.

Wie lassen sich aufsichtsrechtliche Vorgaben mit betriebswirtschaftlichem Sinn umsetzen?

I. Grundregeln der IT-Steuerung

Die IT-Steuerung bildet einen Teil der Corporate Steuerung eines Unternehmens und muss in diese integriert sein. Neben der Einhaltung der aufsichtsrechtlichen Anforderungen umfasst IT-Steuerung auch die Steuerung der Werthaltigkeit des IT-Engagements und die Erreichung des erhofften Wertbeitrags für die Unternehmenszielsetzungen insgesamt.

Hier darf es keine Werte- oder Strukturbrüche geben. Die IT muss in ein einheitliches Rahmenwerk eingebunden sein, das sich am Geschäftszweck des Unternehmens orientiert. Dies erfordert einen gesamthaften Ansatz zur wirksamen Steuerung des IT-Einsatzes von der IT-Strategie und IT-Architektur über eine konsistente Daten-Steuerung und einem Daten-Qualitätsmanagement bis hin zum ordnungsgemäßen Betrieb und zur Notfallvorsorge. Diesem gesamthaften Ansatz aber muss neben klaren Vorgaben etwa der Geschäfts- und Risikostrategie, klaren Regelungen, einer Vielzahl von Methoden, Konzepten und Umsetzungshilfen auch ein gemeinsamer Geist mit Blick auf den Umfang mit Risiken zu Grunde liegen.

In den Regelungen der schriftlich fixierten Ordnung sind bewusst Handlungsspielräume vorzusehen, die jeder Einzelne mit seinem individuellen Können und Erfahrungshorizont einsetzen kann. Außerdem können nicht alle möglichen Konstellationen in den Regelungen Berücksichtigung finden, was Einzelentscheidungen erforderlich macht. Für diese aber sind keine Regelungen nötig, sondern Rollenklarheit, Personalentwicklung und Wertschätzung für das „Mitdenken“ der Mitarbeiter auch im Sinne des Risikomanagements. Jeder Beschäftigte hat dann verankert in der Risikokultur nicht nur auf dem Papier, sondern real die Verantwortung, die Fähigkeiten, Erfahrungen und das eigene Verhalten zu reflektieren – und gleichzeitig das Recht dazu.

Damit aber ist Risikokultur nicht an einzelne Stellen, ans Risikocontrolling oder an die Beauftragten und die Revision delegierbar. Risikokultur fängt insbesondere in den Marktbereichen an – das ist etwa im Kreditgeschäft keine neue Erkenntnis.


II. Risikokultur im Aufsichtsrecht


1. Supervisory Review and Evaluation Process (SREP)

Die Regelungen des SREP auf Basis Artikel 97 der Bankenrichtlinie CRD IV sehen grundsätzlich Governancemängel, zu denen auch Mängel in der Risikokultur gehören, als „sonstige Aspekte“ bei der Beurteilung der Risiken an, die insbesondere die klassischen „Säule I“-Risiken ergänzen.

Für die Einstufung von Instituten und die Festlegung der Intensität der Überwachungsmaßnahmen ist damit jedoch auch die Risikokultur und die Einstufung der Aufsicht hierzu von relevanter Bedeutung – auch ohne eine eigenständige direkte Prüfung etwa durch die Abschlussprüfer. Insbesondere bei der Festlegung der SREP-Zuschläge ergänzend zu den Säule I-Werten in den Kapitalanforderungen können sich deutliche Niederschläge u.a. auch dieser Einschätzung ergeben.

2. Mindestanforderungen an das Risikomanagement (MaRisk)

In den MaRisk wird der Begriff Risikokultur nach dem bei Verfassung dieses Artikels aktuellen Stand des Zwischenentwurfs der MaRisk in der Fassung vom 23. Juni 2016 gültigen Stand nun entgegen des ersten Konsultationsentwurfs nicht in einem eigenen Abschnitt, sondern innerhalb der AT 3 adressiert werden.

Folgende Kernelemente sind es, die zu betonen sich derzeit lohnt.

  • Risikokultur will die in den MaRisk stark betonte formale, dokumentierende Seite abrunden um die Erkenntnis und Erfordernis, dass erst die „gelebte Haltung“ eigentliches Risikomanagement bedeutet. So ist es eben nicht damit getan, ein erkanntes IT-Risiko zu behandeln, indem „wir eben eine Risikoanalyse“ machen, sondern indem wir überlegen, ob es sich um ein Risiko handelt, das tatsächlich getragen werden soll und kann, wie sich dieses zur Gesamtsituation der Bank verhält und wie es in der Gesamtbank wirkt.
  • Risikokultur hat insoweit engen Bezug zur Gesamtsteuerungsphilosophie eines Hauses, aber auch eine starke Komponente von Führungsgrundsätzen, angefangen vom „Tone from the top“.
  • Die betriebswirtschaftlich oder juristisch geprägte Ausbildung der meisten Entscheidungsträger in Banken führt dazu, dass das Risiko in IT-Systemen unbeschadet der stark sensibilisierenden Wirkungen sowohl von Aufsichtsprüfungen als auch von tatsächlichen Schäden und Sicherheitsvorfällen teilweise immer noch nicht als „Chefsache“ angesehen, sondern an die operativ zuständigen Abteilungen oder an die Rechenzentren z.B. der Finanzverbünde delegiert wird. Bestehende Verantwortung wird demnach zwar formal akzeptiert, aber nach wie vor teilweise nicht materiell angemessen wahrgenommen. Dies äußert sich in Prüfungen nach § 44 KWG dann z.B. in der Feststellung unzureichender Reportings, unzureichender Auswertung dieser Reportings bzw. unzureichender  Rückkopplung in die Banksteuerung und das Risikomanagement. 
  • Zugleich fehlt – gerade vor diesem Hintergrund an sich verwunderlich – oft die in allen gängigen IT-Standards geforderte Anbindung der IT an die Geschäftsprozesse („Business-Alignment“). Leider spielt der wichtigste Erfolgsfaktor, nämlich gesunder Menschenverstand, Sensibilisierung der Mitarbeiter, Schulung der Mitarbeiter und Schaffung eines stringenten und auf die Bank und ihre Prozesse passenden organisatorischen Rahmens, dabei viel zu oft eine zu geringe Rolle. Die wirksamsten und effizientesten Maßnahmen aber werden daher oft nicht ergriffen. Die fehlende ganzheitliche Systematik ist ebenfalls eines der häufig anzutreffenden wesentlichen Probleme.
  • Sehr weit verbreitet ist, dass für unterschiedlichste Risikobehandlungskontexte einer Bank, etwa das Risikomanagement für operationelle Risiken, das Informationssicherheitsmanagement, die Dienstleistersteuerung, die Compliance-Funktionen etc. unterschiedliche Regelkreise, unterschiedliche Risikomessmethoden, unterschiedliche Schwellenwerte etc. existieren, ohne dass dies bankfachlich anders begründbar wäre als damit, dass es eben keine bekannte Risikoneigung des Vorstands, keine klaren Risikokommunikationswege und keine Kultur der kontinuierlichen Verbesserung gibt, die das Identifizieren und Melden von Fehlern und/oder Risiken und/oder Schäden belohnt. Das aber steht eindeutig im Widerspruch zum betriebswirtschaftlichen Eigeninteresse der Bank wie zu den MaRisk. Hier gilt es, eine bewusste Risikokultur durch Methodenklärung, -bereinigung und -vereinfachung zu unterstützen soweit eben methodisch und aufsichtsrechtlich möglich.

Prof. Dr. Ralf Kühn, WP/StB, Geschäftsführer der Audit GmbH Karlsruhe Stuttgart Wirtschaftsprüfungsgesellschaft

Kontaktdaten:
Fon: 0711 222 13-14 83

Mittwoch, 21. Dezember 2016

Ein modernes Internes Kontrollsystem (IKS) erfordert Prozessorientierung

Nach dem IDW PS 261 besteht das IKS aus „Regelungen zur Steuerung der Unternehmensaktivitäten (internes Steuerungssystem) und Regelungen zur Überwachung der Einhaltung dieser Regelungen (internes Überwachungssystem)“. Das interne Überwachungssystem umfasst prozessintegrierte (organisatorische Sicherungsmaßnahmen, Kontrollen) sowie prozessunabhängige Überwachungsmaßnahmen. 

In der Praxis wird oft eine engere Auslegung des IKS-Begriffs gewählt und IKS gleichgesetzt mit „Kontrollen“. Es darf dabei allerdings nicht so weit gegangen werden, dass nur technisch abgegriffene Geschäftsvorfälle als IKS betrachtet werden. Die dort vorgesehenen und ggf. dokumentierten Kontrollen sind zwar Bestandteil des IKS, allerdings bestehen in jedem Institut noch weitere prozessintegrierte Kontrollen wie beispielsweise ein Vier-Augen-Prinzip, die ebenfalls Bestanteil des IKS sind.

Das IKS im engeren Sinne stellt ein Subsystem des unternehmensweiten Risikomanagementsystems, genauer gesagt des operationellen Risikomanagements dar. Hierbei stellen operationelle Risiken inhärente, mit nahezu allen Unternehmensprozessen verbundene Risiken dar. Die Durchführung von Kontrollaktivitäten folgt in der Theorie der Durchführung einer Risikobeurteilung. Kontrollaktivitäten sind demnach Maßnahmen im Hinblick auf vorher identifizierte und beurteilte Risiken.

Der Prozessorientierung folgend begegnet man operationellen Risiken idealerweise mit Instrumenten des Prozessmanagements, welche in Kombination mit Techniken des Risikomanagements ein praktisch anwendbares IKS im engeren Sinne ergeben.

Eine Dokumentation zumindest wesentlicher Geschäftsprozesse stellt somit nicht nur die Grundlage der Ablauforganisation dar, sie bildet auch die Basis für die Errichtung und Dokumentation eines funktionsfähigen IKS. Dabei darf der Begriff Prozess nicht mit der technischen Steuerung von Teilprozessen bzw. der technischen Flankierung einzelner Prozessschritte gleichgesetzt werden. Die technische Steuerung dient der Führung des jeweiligen Nutzers; sie stellt regelmäßig eine prozessintegrierte Kontrolle dar, deren Einrichtung vielmehr fundierte Prozesskenntnis voraussetzt.  

Die Prüfungspraxis zeigt, dass in der deutschen Bankenlandschaft zunehmend Prozesslandkarten auf Gesamtbankebene erstellt werden, welche auch zur Darstellung von Risiken, denen Schlüsselkontrollen gegenüberstehen müssen, verwendet werden. Zunehmend werden auch sogenannte zentrale IKS-Instanzen bzw. IKS-Beauftragte installiert um ein bankweit konsistentes System sicherzustellen.

Sarah Horn, Rechtsanwältin, Prokuristin, Audit GmbH Karlsruhe Stuttgart Wirtschaftsprüfungsgesellschaft

Kontaktdaten:
Fon: 0711 222 13-14 16

Auslagerungs-Risikoanalyse

Aufgrund der erhöhten Anforderungen im Bereich Auslagerungen im Konsultationsentwurf der MaRisk (Stand: 02/2016) sowie erheblichen Feststellungen in Sonderprüfungen der Aufsicht zu diesem Themenkomplex, sind viele Institute verunsichert. Neben aufbauorganisatorischen Fragen, herrscht Unsicherheit hinsichtlich der benötigten Unterlagen und der zu ergreifenden Maßnahmen. Die verbreitete Praxis, nur diejenigen Unterlagen kursorisch auszuwerten, die ohnehin vom Dienstleister zur Verfügung gestellt werden, wird zu Recht kritisch betrachtet. Es ist jedoch auch der umgekehrte Fall durchaus vorhanden, bei dem die Institute vorsorglich so viele Unterlagen wie möglich anfordern und auswerten. Nicht nur erlaubt, sondern gerade gewünscht, ist demgegenüber ein risikoorientiertes Vorgehen, wobei es im Ermessen der Institute liegt, Vorgaben zur Dienstleistersteuerung zu machen. In diesem Zusammenhang kommen der Auslagerungs-Risikoanalyse verschiedene Funktionen zu:


Risikoanalyse als Entscheidungsgrundlage

Zunächst dient eine erstmalige Risikoanalyse als Grundlage zur Entscheidung über die jeweilige Auslagerung. Als wesentliche Inhalte bieten sich an:

Beweggründe zur Auslagerung
Unterscheidung „Auslagerung vs. sonstiger Fremdbezug“ nach MaRisk AT 9 Tz. 1
Zulässigkeit der Auslagerung nach § 25b Abs. 2 KWG und MaRisk AT 9 Tz. 4
zahlreiche Dokumentationserfordernisse nach MaRisk AT 9 (z.B. als Checkliste)
Kern der Risikoanalyse: Risiken der Auslagerung

Die enge Verzahnung im Sinne einer einheitlichen Risikokultur aller wesentlichen Risikoarten des Institutes ist hierbei erforderlich, wobei insbesondere die Steuerungslogik der operationellen Risiken in der Auslagerungs-Risikoanalyse aufgegriffen werden sollte.


Ableitung der Wesentlichkeit aus der Risikoanalyse

Die Definition für eine wesentliche Auslagerung nach MaRisk AT 9 Tz. 2 muss jedes Institut individuell festlegen. Die festgelegten Kriterien sollen eine eindeutige Ableitung der Wesentlichkeit ermöglichen. Insbesondere soll es nicht möglich sein, ein sehr hohes Risiko durch mehrere sehr geringe Risiken aufgrund einer Durchschnittswertbetrachtung zu nivellieren.

Risikoanalyse als Grundlage der Kontrollhandlungen

Da bei einer risikoorientierten Vorgehensweise nur für die identifizierten Bruttorisiken Kontroll-handlungen erforderlich sind, sollte eine Unterscheidung nach Brutto- und Nettorisiko erfolgen. Als Kontrollhandlungen können sein:

Auswertung der entsprechenden Berichte des Dienstleisters
Ersatzunterlagen, sofern keine Berichte vorliegen
regelmäßige Gesprächstermine
Kontrollen der Compliance-Einheit bzw. der entsprechenden Beauftragten
Prüfungen der Internen Revision vor Ort

Durch die entsprechenden Kontrollen kann das Risiko in der Nettobetrachtung ggf. reduziert werden.


Im Ergebnis werden die Weichen für eine aufsichtsrechtlich ausreichende und betriebswirtschaftlich sinnvolle Dienstleistersteuerung oft bereits bei der Gestaltung der Risikoanalyse gestellt.

Sarah Horn, Rechtsanwältin, Prokuristin, Audit GmbH Karlsruhe Stuttgart Wirtschaftsprüfungsgesellschaft

Kontaktdaten:
sarah.horn@audit-wpg.com
Fon: 0711 222 13-14 16