Freitag, 23. Dezember 2016

Risikokultur und IT-Steuerung

Operationelle IT-Risiken und deren aufsichtsrechtliche Behandlung im Rahmen von Prüfungen nach § 44 KWG haben deutlich an Bedeutung gewonnen, wobei im Fokus ein handhabbares und risikobegrenzendes System des Managements operationeller IT-Risiken steht. Bei richtiger Umsetzung kann aber auch eine stärkere Fokussierung der jeweiligen Bank auf straffe, klar definierte und revolvierend optimierte Geschäftsprozesse folgen, die durch die IT optimal unterstützt werden. Die Bank kann so trotz des mit der Umsetzung oder Nachjustierung der IT-Risikomanagementsysteme verbundenen Aufwands auch betriebswirtschaftlich gewinnen.

Wie lassen sich aufsichtsrechtliche Vorgaben mit betriebswirtschaftlichem Sinn umsetzen?

I. Grundregeln der IT-Steuerung

Die IT-Steuerung bildet einen Teil der Corporate Steuerung eines Unternehmens und muss in diese integriert sein. Neben der Einhaltung der aufsichtsrechtlichen Anforderungen umfasst IT-Steuerung auch die Steuerung der Werthaltigkeit des IT-Engagements und die Erreichung des erhofften Wertbeitrags für die Unternehmenszielsetzungen insgesamt.

Hier darf es keine Werte- oder Strukturbrüche geben. Die IT muss in ein einheitliches Rahmenwerk eingebunden sein, das sich am Geschäftszweck des Unternehmens orientiert. Dies erfordert einen gesamthaften Ansatz zur wirksamen Steuerung des IT-Einsatzes von der IT-Strategie und IT-Architektur über eine konsistente Daten-Steuerung und einem Daten-Qualitätsmanagement bis hin zum ordnungsgemäßen Betrieb und zur Notfallvorsorge. Diesem gesamthaften Ansatz aber muss neben klaren Vorgaben etwa der Geschäfts- und Risikostrategie, klaren Regelungen, einer Vielzahl von Methoden, Konzepten und Umsetzungshilfen auch ein gemeinsamer Geist mit Blick auf den Umfang mit Risiken zu Grunde liegen.

In den Regelungen der schriftlich fixierten Ordnung sind bewusst Handlungsspielräume vorzusehen, die jeder Einzelne mit seinem individuellen Können und Erfahrungshorizont einsetzen kann. Außerdem können nicht alle möglichen Konstellationen in den Regelungen Berücksichtigung finden, was Einzelentscheidungen erforderlich macht. Für diese aber sind keine Regelungen nötig, sondern Rollenklarheit, Personalentwicklung und Wertschätzung für das „Mitdenken“ der Mitarbeiter auch im Sinne des Risikomanagements. Jeder Beschäftigte hat dann verankert in der Risikokultur nicht nur auf dem Papier, sondern real die Verantwortung, die Fähigkeiten, Erfahrungen und das eigene Verhalten zu reflektieren – und gleichzeitig das Recht dazu.

Damit aber ist Risikokultur nicht an einzelne Stellen, ans Risikocontrolling oder an die Beauftragten und die Revision delegierbar. Risikokultur fängt insbesondere in den Marktbereichen an – das ist etwa im Kreditgeschäft keine neue Erkenntnis.


II. Risikokultur im Aufsichtsrecht


1. Supervisory Review and Evaluation Process (SREP)

Die Regelungen des SREP auf Basis Artikel 97 der Bankenrichtlinie CRD IV sehen grundsätzlich Governancemängel, zu denen auch Mängel in der Risikokultur gehören, als „sonstige Aspekte“ bei der Beurteilung der Risiken an, die insbesondere die klassischen „Säule I“-Risiken ergänzen.

Für die Einstufung von Instituten und die Festlegung der Intensität der Überwachungsmaßnahmen ist damit jedoch auch die Risikokultur und die Einstufung der Aufsicht hierzu von relevanter Bedeutung – auch ohne eine eigenständige direkte Prüfung etwa durch die Abschlussprüfer. Insbesondere bei der Festlegung der SREP-Zuschläge ergänzend zu den Säule I-Werten in den Kapitalanforderungen können sich deutliche Niederschläge u.a. auch dieser Einschätzung ergeben.

2. Mindestanforderungen an das Risikomanagement (MaRisk)

In den MaRisk wird der Begriff Risikokultur nach dem bei Verfassung dieses Artikels aktuellen Stand des Zwischenentwurfs der MaRisk in der Fassung vom 23. Juni 2016 gültigen Stand nun entgegen des ersten Konsultationsentwurfs nicht in einem eigenen Abschnitt, sondern innerhalb der AT 3 adressiert werden.

Folgende Kernelemente sind es, die zu betonen sich derzeit lohnt.

  • Risikokultur will die in den MaRisk stark betonte formale, dokumentierende Seite abrunden um die Erkenntnis und Erfordernis, dass erst die „gelebte Haltung“ eigentliches Risikomanagement bedeutet. So ist es eben nicht damit getan, ein erkanntes IT-Risiko zu behandeln, indem „wir eben eine Risikoanalyse“ machen, sondern indem wir überlegen, ob es sich um ein Risiko handelt, das tatsächlich getragen werden soll und kann, wie sich dieses zur Gesamtsituation der Bank verhält und wie es in der Gesamtbank wirkt.
  • Risikokultur hat insoweit engen Bezug zur Gesamtsteuerungsphilosophie eines Hauses, aber auch eine starke Komponente von Führungsgrundsätzen, angefangen vom „Tone from the top“.
  • Die betriebswirtschaftlich oder juristisch geprägte Ausbildung der meisten Entscheidungsträger in Banken führt dazu, dass das Risiko in IT-Systemen unbeschadet der stark sensibilisierenden Wirkungen sowohl von Aufsichtsprüfungen als auch von tatsächlichen Schäden und Sicherheitsvorfällen teilweise immer noch nicht als „Chefsache“ angesehen, sondern an die operativ zuständigen Abteilungen oder an die Rechenzentren z.B. der Finanzverbünde delegiert wird. Bestehende Verantwortung wird demnach zwar formal akzeptiert, aber nach wie vor teilweise nicht materiell angemessen wahrgenommen. Dies äußert sich in Prüfungen nach § 44 KWG dann z.B. in der Feststellung unzureichender Reportings, unzureichender Auswertung dieser Reportings bzw. unzureichender  Rückkopplung in die Banksteuerung und das Risikomanagement. 
  • Zugleich fehlt – gerade vor diesem Hintergrund an sich verwunderlich – oft die in allen gängigen IT-Standards geforderte Anbindung der IT an die Geschäftsprozesse („Business-Alignment“). Leider spielt der wichtigste Erfolgsfaktor, nämlich gesunder Menschenverstand, Sensibilisierung der Mitarbeiter, Schulung der Mitarbeiter und Schaffung eines stringenten und auf die Bank und ihre Prozesse passenden organisatorischen Rahmens, dabei viel zu oft eine zu geringe Rolle. Die wirksamsten und effizientesten Maßnahmen aber werden daher oft nicht ergriffen. Die fehlende ganzheitliche Systematik ist ebenfalls eines der häufig anzutreffenden wesentlichen Probleme.
  • Sehr weit verbreitet ist, dass für unterschiedlichste Risikobehandlungskontexte einer Bank, etwa das Risikomanagement für operationelle Risiken, das Informationssicherheitsmanagement, die Dienstleistersteuerung, die Compliance-Funktionen etc. unterschiedliche Regelkreise, unterschiedliche Risikomessmethoden, unterschiedliche Schwellenwerte etc. existieren, ohne dass dies bankfachlich anders begründbar wäre als damit, dass es eben keine bekannte Risikoneigung des Vorstands, keine klaren Risikokommunikationswege und keine Kultur der kontinuierlichen Verbesserung gibt, die das Identifizieren und Melden von Fehlern und/oder Risiken und/oder Schäden belohnt. Das aber steht eindeutig im Widerspruch zum betriebswirtschaftlichen Eigeninteresse der Bank wie zu den MaRisk. Hier gilt es, eine bewusste Risikokultur durch Methodenklärung, -bereinigung und -vereinfachung zu unterstützen soweit eben methodisch und aufsichtsrechtlich möglich.

Prof. Dr. Ralf Kühn, WP/StB, Geschäftsführer der Audit GmbH Karlsruhe Stuttgart Wirtschaftsprüfungsgesellschaft

Kontaktdaten:
Fon: 0711 222 13-14 83
Modulares, wirtschaftliches Unterstützungs-Angebot für Banken. Wir lösen Ihre Herausforderungen. Prüfen, beraten und unterstützen. Ihr Anliegen ist bei Audit-WPG Chefsache.

Ähnliche Beiträge