Bereits im Juli 2014 betonte die European Banking Authority (EBA) die Bedeutung von IKT-Risiken im Supervisory Review and Evaluation Process (SREP). Im Mai 2017 initialisierte die EBA ein separates IT-SREP-Verfahren für bedeutende – Significant Institutes (SI) – und weniger bedeutende – Less Significant Institutes (LSI) – Banken. Dadurch erweiterte sich die Risikolandkarte. Ende Oktober des gleichen Jahres wurden die Mindestanforderungen an das Risikomanagement dahin gehend überarbeitet und die Vorschriften des § 25a Kreditwesengesetz (KWG) gemeinsam mit den Bankenaufsichtlichen Anforderungen an die IT (BAIT) prinzipienbasiert konkretisiert. Die neue EU-Verordnung Digital Operational Resilience for the financial sector and Amending regulations (DORA – EU-Verordnung 2022/2254) und die enthaltenen Anpassungen weiterer Richtlinien stellen das Beherrschen von IKT-Risiken ebenfalls in den Mittelpunkt – und zusätzlich dazu noch die quantitative Bemessung im Rahmen operationeller Risiken. Die Grundprinzipien dürften jedoch bereits in den BAIT und den MaRisk verankert sein.
Banken müssen das
- IKT-Verfügbarkeits- und Kontinuitätsrisiko,
- IKT-Sicherheitsrisiko,
- IKT-Änderungsrisiko,
- IKT-Datenintegritätsrisiko und
- IKT-Auslagerungsrisiko
aufgrund ihrer Bedeutung als materiell bedeutendes, wesentliches Non Financial Risk bewerten und steuern. Dies gilt sowohl für den Wertschöpfungsprozess als auch im SREP.
Die aufsichtliche Bewertung des SREP zur Einschätzung der Risikoprofilnote nimmt insbesondere die IT-Governance und IT-Strategie der Banken sehr genau unter die Lupe. Ein Assessment beurteilt die Funktionsfähigkeit und Sicherheit der IKT hinsichtlich ihrer Angemessenheit. Mängel ziehen gegebenenfalls Sanktionen in Form von einer höheren Risikoprofilnote und/oder Kapitalzuschlägen nach sich. Da sich SREP-Zuschläge als Risk-Weighted-Assets-Äquivalent (RWA) in der Säule II niederschlagen, lassen sich diese unter anderem als Materialitätskriterien zur Beurteilung der Wesentlichkeit von IKT-Risiken heranziehen. Dies vor allem im Hinblick auf die Vermögens- und Finanzlage im Rahmen der Risikotragfähigkeitsbetrachtung des Instituts.
Durch die fortschreitende Digitalisierung der Geschäftsprozesse und Wertschöpfungsketten wächst die Bedeutung der Risiko- und Kontrollstruktur im Rahmen des internen Kontrollsystems (IKS). Das Beherrschen und Steuern von IKT-Risiken ist nicht nur eine aufsichtsrechtliche Anforderung, sondern Kernelement der Risiko- und Geschäftsstrategie. Eine effektive Kontrolle durch die Geschäftsleitung im Rahmen der IT-Governance sowie eine Verankerung im Risikokulturprozess und Risk Appetite Framework (RAF) der Bank muss sichergestellt sein. Die einzelnen Aufgabenstellungen, Schnittstellen und Verantwortungsbereiche des IKT-Managements sind prozess- und funktionsübergreifend für eine funktionierende Data Governance verantwortlich. Das Three-Lines-of-Defence-Modell (TLoD) zur Abbildung von Aufbau, Zusammenwirken und Koordination innerhalb des IKS ist ein entscheidendes Element der Unternehmensüberwachung und -steuerung von IKT-Prozessen.
Bei turnusmäßigen Review-Analysen sollte der Schwerpunkt auf der Beurteilung der Funktionsfähigkeit und Effektivität des TLoD-Modells zur Steuerung der IKT-Risiken liegen – dies grundsätzlich unter Berücksichtigung von Angemessenheit und Risikokonzentrationen. Im Anschluss lassen sich entsprechend dem Risikoprofil institutsspezifische Handlungsbedarfe ableiten, um die Funktionsfähigkeit zu gewährleisten. In der Praxis ist hier das hauptsächlich im OpRisk-Managementprozess implementierte Self Assessment als spezifisches Instrument der Risikoinventur im Einsatz. Die hierfür erforderlichen Prozesse und Methoden sollten proportional zu den Anforderungen des jeweiligen Instituts definiert und in der schriftlich fixierten Ordnung verankert werden.
Geht es um die Abbildung von Financial und Non Financial Risks im Risikomanagementprozess, stehen wir Banken sowohl bei regulatorischen Fragestellungen als auch fachlich und technisch zur Seite. Dies gilt ebenso für die Formulierung und Umsetzung der IKT-Strategie. Insbesondere im Bereich der IKT-Risiken verfügen wir über umfangreiche praktische Erfahrungen bei der Beurteilung, Messung und Steuerung sowie Einpassung in das IKS.
