Sie sind hier: Startseite IT & Kommunikation Handlungsdruck durch MaRisk BA
Benutzerspezifische Werkzeuge
Artikelaktionen
IT-Risikomanagement

Handlungsdruck durch MaRisk BA

Die deutschen Banken müssen ihr IT-Risikomanagement bis Ende 2011 verbessern, um den geänderten gesetzlichen Vorschriften zu genügen. Die neuen Mindestanforderungen an das Risikomanagement für Banken (MaRisk BA) setzen hierbei Schwerpunkte, die sich direkt und indirekt auf das Management der IT-Risiken auswirken. Um den erhöhten Anforderungen zu genügen, sollten sich Banken an internationalen Risikomanagement-Standards orientieren. Darüber hinaus gilt es, die eigene IT wirkungsvoll zu steuern und zu kontrollieren. Allerdings lassen sich die neuen MaRisk-Vorgaben nicht so einfach umsetzen, weil sie zum Teil ungenau formuliert sind. | Thomas Rose, Alexander Hampel

In wenigen Monaten muss ein MaRisk-BA-konformes Risikomanagement implementiert sein. Das ist ein extrem kurzer Zeitraum, da es sich um breit gefasste organisationale Veränderungen handelt. Auch wenn die meisten Änderungen in den MaRisk BA auf die bankfachlichen Risiken abzielen, einige Modifikationen betreffen die operationellen Risiken und damit direkt oder indirekt auch die IT. Die für das IT-Risikomanagement relevanten Änderungen:

  • Es ist eine gesamtheitliche Risikoinventur vorzunehmen, die auch die relevanten sonstigen Risiken umfasst (zum Beispiel IT-induzierte Risiken).
  • Die Risikotragfähigkeit hat die beabsichtigten Veränderungen der eigenen Geschäftstätigkeit und der strategischen Ziele einzubeziehen (unter anderem neue IT-gestützte Geschäftsprozesse).
  • Die von der Strategie abgeleiteten strategischen Ziele und deren Umsetzungsmaßnahmen sind zu definieren. Es ist eine konsistente Risikostrategie abzuleiten. Zudem ist ein Strategieprozess einzurichten, der die Planung und Umsetzung steuert und die Zielerreichung misst (beispielsweise Kunden-Self-Service-Dienstleistungen, die durch die IT implementiert werden und Kennzahlen, die den Projektfortschritt messen).
  • Bei der technisch-organisatorischen Ausstattung darf kein Widerspruch zwischen den eingerichteten Berechtigungen und der organisationalen Zuordnung bestehen. Es ist ein Change-Prozess für die IT-Implementierung einzurichten (Beispiel: Ausschließende Berechtigungen werden durch das Berechtigungsmanagement verhindert, und Veränderungen werden nach­­vollziehbar dokumentiert).
  • Vor Übernahmen und Fusionen mit anderen Instituten sind neben den bankfachlichen Anforderungen auch die notwendigen Anpassungen an den IT-Systemen zu berücksichtigen (beispielsweise Risiken bei der Migration der IT-Prozesse und IT-Kernbankanwendungen).
  • Die eingesetzten Methoden und Verfahren sind regelmäßig auf ihre Angemessenheit zu prüfen, insbesondere die Risikosteuerungs- und Controllingprozesse (zum Beispiel Prüfung der Risikomanagement-Methode für die IT und die Auslagerungen).
  •  

Dies ist eine beträchtliche Herausforderung für die Institute, da ein integriertes Risikomanagement implementiert werden muss. Dies erfordert eine durchgängige Betrachtung der Risiken vom Business über die IT bis zu den Auslagerungen (Outsourcing), um im zweiten Schritt die identifizierten Risiken wieder nach oben zu integrieren. Nur so wird eine ganzheitliche Risikobetrachtung und –steuerung ermöglicht.

Zu schwache Kopplung zwischen Strategie und Steuerung
Diese Notwendigkeit ist leicht nachzuvollziehen: Der Geschäftsbereich Vertrieb beispielsweise beschließt Neukunden durch eine innovative Form im Online Banking zu gewinnen. Die mit dieser Strategie einhergehenden Risiken werden vom Vertrieb identifiziert und bewertet. Durch die Umsetzung der Lösung in der IT und beim IT-Dienstleister ergeben sich jedoch weitere Risiken im Bereich Informationssicherheit. Werden diese nicht gemeinsam mit den bankfachlichen Risiken betrachtet, ist eine integrierte Risikobetrachtung des Neukundengeschäfts nicht möglich.

Einer der Schwerpunkte der neuen MaRisk BA betrifft die strategischen Ziele. Für diese werden nachvollziehbare und messbare Umsetzungsmaßnahmen gefordert. Dieser Schwerpunkt wurde gesetzt, da sich in der Praxis oft gezeigt hat, dass die Strategie und die Umsetzungsmaßnahmen in getrennten Prozessen abliefen. Durch diese schwache Koppelung zwischen den strategischen Zielen, den daraus entstehenden Risiken und den Steuerungsmaßnahmen wurde oft am Ziel vorbeigesteuert.

Das folgende Beispiel erläutert diesen Zusammenhang: Wenn die Strategie der Bank eine Fokussierung auf die Kunden vorgibt, so müssen die Ziele der abgeleiteten IT-Strategie eine hohe Benutzerfreundlichkeit für das Online Banking und die Online-Brokerage-Anwendungen vorgeben. Wenn jedoch die dadurch entstehenden IT-Risiken der technischen Lösung nicht in das Risikomanagement der Bank einbezogen werden, kann keine adäquate Steuerung und Kontrolle erfolgen. Mögliche IT-Risiken münden dann in der Verletzung der Schutzziele im Rahmen der Informationssicherheit. Es könnte zu unbemerkten Ausfällen der Online Banking und Brokeranwendung führen, oder es könnten Sicherheitslücken entstehen, die unberechtigten Dritten Zugriff auf Kontendaten und Vermögensbestände ermöglichen.

Das Praxisbeispiel verdeutlicht, dass die Vorgaben der strategiefokussierten Vorgehensweise der neuen MaRisk BA eine wesentliche Verbesserung durch eine integrierte Betrachtung der Ursachen-Wirkungs-Kette von Business und IT-Risiken ermöglicht. Um diese integrierte Risikobetrachtung umzusetzen, sind die aus der Strategie abgeleiteten Risiken in eine konsistente Risikostrategie zu überführen, die den Handlungsrahmen für das Risikomanagement vorgibt.

Um MaRisk-konform zu sein, muss die Umsetzung der IT-Strategie durch Kennzahlen gesteuert und kontrolliert werden. So sollte zum Beispiel ausgewertet werden, wie viele der geplanten Maßnahmen auch tatsächlich umgesetzt wurden.

Getrennte Prozesse für Entwicklung, Testen und Freigabe
Ein weiterer Schwerpunkt zur Steuerung und Behandlung der IT-Risiken ergibt sich aus den Präzisierungen der Vorgaben zur technisch-organisatorischen Ausstattung. So ist in den neuen MaRisk festgelegt, dass die umzusetzenden Berechtigungen nicht im Widerspruch zu der organisatorischen Zuordnung der Mitarbeiter stehen dürfen. Dies bedeutet in der Praxis eine enge Koppelung zwischen dem Prozess des Berechtigungsmanagements und den Rollen der Aufbauorganisation (Prinzip der minimalen Rechtevergabe). Es muss hierbei im Vorfeld definiert werden, welche Rollen auf keinen Fall durch die gleiche Person ausgeübt werden dürfen und wo diese Rollen in der Aufbauorganisation verankert sind.

Eine weitere Änderung im Bereich der technisch-organisatorischen Ausstattung wirkt sich direkt auf die Informationssicherheit aus: Es ist ein formalisierter Prozess einzurichten, der die Trennung der Entwicklung von IT-Anwendungen, des Testens und der Freigabe in die Produktion sicherstellt. Dies entspricht den internationalen Standards des Change Managements. Für die Praxis bedeutet dies, dass die Prozesse zumindest definiert sein müssen, d.h. einen Reifegrad 3 des Capability Maturity Model Integration (CMMI) besitzen. Für eine zusätzliche Einbindung in das interne Kontrollsystem (IKS) und einen kontinuierlichen Verbesserungsprozess müssen die Prozesse messbar sein, d.h. einen Reifegrad 4 erfüllen.

Die letzten für die IT relevanten Änderungen an den neuen MaRisk BA betreffen die Risikosteuerungs- und Controllingprozesse. Hierbei muss die Angemessenheit der eingesetzten Methode regelmäßig überprüft werden. Außerdem müssen die ermittelten Risikowerte auf Plausibilität überprüft werden. Für die Praxis des IT-Risikomanagements bedeutet dies, dass die eingesetzten Methoden und Verfahren in einem ersten Schritt schriftlich definiert und innerhalb der Organisation als Prozess implementiert werden müssen. Außerdem sollten sie im Rahmen eines kontinuierlichen Verbesserungsprozesses regelmäßig hinterfragt werden.

Transformation in Transformation in ein MaRisk-BA-konformes IT-RisikomanagementMaRisk-konformes Risikomanagement
Die Transformation in ein MaRisk-BA-konformes IT-Risikomanagement vollzieht sich in drei Phasen (GRAFIK 1). In der ersten Phase wird eine Erhebung und Analyse des Ist-Zustands des IT-Risikomanagements durchgeführt. Hierzu lassen sich bewährte Methoden der Prozessreifegradbestimmung oder der Strukturanalyse heranziehen, die die Basis zur Bewertung der Ausgangssituation im Veränderungsprozess schaffen.

In der zweiten Phase wird der Soll-Zustand definiert, der die relevanten Gesetze und Vorschriften umsetzt. Der Soll-Zustand muss außerdem die Zielvorgaben des Vorstands berücksichtigen und sollte sich zudem an den bestehenden Standards und Normen orientieren.

Die MaRisk BA detaillieren die Vorgaben des KWG und sollen die Umsetzung in die Praxis unterstützen. Umsetzungsprojekte zeigen jedoch, dass die Aussagen im KWG und in den MaRisk BA nicht immer eindeutig interpretiert werden können. Des Weiteren fehlen zu wichtigen Begriffen die entsprechenden Definitionen, so dass diese indirekt abgeleitet werden müssen. Besonders erschwerend kommt hinzu, dass die gewählten Begriffe nicht den internationalen Standards und Normen entsprechen. Besonders sind hiervon die Risikosteuerungs- und Con­trollingprozesse und das Auslagerungsmanagement betroffen. Alle Vorgaben (Gesetze, Verordnungen, Standards, Normen) zum Risikomanagement stimmen grob mit folgendem Vorgehen überein:

  • Risiken müssen bewertet werden,
  • Risiken müssen behandelt werden,
  • Risiken müssen überwacht werden.


Das Problem liegt jedoch darin, dass die einzelnen Teilprozesse in den Literaturquellen unterschiedlich bezeichnet werden. Deutsche und englische Begriffe sind schwer zu differenzieren, zumal die Begriffe inhaltlich unterschiedlich interpretiert wurden. Eine besondere Herausforderung besteht zudem darin, einen Lösungsansatz zu finden, der in den unterschiedlichen Anwendungsgebieten (IT, Business, Outsourcing, ...) einheitlich einsetzbar ist. Deshalb ist es nicht verwunderlich, dass es bei der Implementierung eines MaRisk-BA-konformen IT-Risikomanagements in der Praxis zu Problemen kommt.

Kombination aus BSI-IT-Grundschutz und ISO liefert sehr brauchbare Resultate
Damit das IT-Risikomanagement bei Banken nicht versagt, ist es daher ratsam, sich an den internationalen Normen der ISO Reihe 31000 (Risk Management), der ISO Reihe 27000 (Information Security Management) und an den Standard-100 des Bundesamts für Sicherheit in der Informationstechnik (BSI) auszurichten. Notwendige Anpassungen für die individuelle Organisation müssen entsprechend vorgenommen werden. Für das IT-Risikomanagement liefert eine Kombination aus dem BSI-IT-Grundschutz und der ISO Reihe 27000 sehr brauchbare Ergebnisse. Und wenn im bankfachlichen Risikomanagement zusätzlich eine Anlehnung an die ISO Reihe 31000 stattfindet, lässt sich das IT-Risikomanagement nahtlos in das bankfachliche Risikomanagement integrieren.

In der dritten Phase des Vorgehensmodells findet die eigentliche Transformation statt, die das Delta zwischen dem Ist-Zustand und dem Soll-Zustand schließt. Spätestens diese Phase ist in die kurz- und mittelfristige Unternehmensplanung einzubeziehen. Darüber hinaus sollte die Umsetzung des IT-Risikomanagements durch ein professionelles Projektmanagement gesteuert werden.

In der Praxis müssen dazu bankinterne Herausforderungen gelöst werden. Zum Beispiel liegen in der IT-Organisation meist niedrigere Prozessreifegrade vor als in den Fachabteilungen, da kaum verbindliche/gesetzliche Vorgaben für die Gestaltung von IT-Prozessen bestehen. Das bedeutet zusätzlichen Aufwand (Zeit und Ressourcen), um die IT-Prozesse in einem ersten Schritt auf den Prozessreifegrad 3 zu heben. Des Weiteren wissen IT-Abteilungen zu wenig über geeignete Maßnahmen zur Steuerung und Kontrolle der IT-Prozesse, wie diese für ein Self-Assessment im Rahmen des internen Kontrollsystems notwendig sind.

Mapping des Risikomanagementprozesses zwischen ISO 31000 und KWG/MaRiskGRAFIK 2 zeigt beispielhaft wie sich ein Risikomanagementprozess gemäß der ISO 31000 umsetzen lässt. Das zusätzliche Mapping erbringt den Nachweis, dass die Vorgaben der MaRisk BA eingehalten werden. Auf Basis des Mappings ist es einer Organisation möglich, die Begriffe der ISO 31000 organisationsweit einzusetzen und sich an den marktgängigen Standards/Normen auszurichten. Für das IT-Risikomanagement kann die ISO 27005 eingesetzt werden, die den Risikomanagementprozess der ISO 31000 um Spezifika des Informationssicherheitsrisikomanagements ergänzt.

Aufgrund des oben dargestellten allgemeingültigen Prozesses ist es nun möglich, ein einheitliches Risikomanagement für die bankintern betriebene IT und die Auslagerungen einzusetzen. Die zentralen Anforderungen aus dem KWG und den MaRisk BA zum Risikomanagement werden somit auch für das Outsourcing umgesetzt.

Thomas Rose ist Partner bei der Esprit Consulting AG. Dr. Dr. Alexander Hampel ist Geschäftsführer der Adapcon Services GmbH.
Der Artikel ist erschienen in der Ausgabe 07/2011
IT & Kommunikation Trends
Online-Werbung behauptet sich
»
Litfasssäulen im Web
Peer-to-Peer-Geschäfte
»
Wichtige Wettbewerber
PR in neuen Medien ergänzt klassische Pressearbeit
»
Online-Portale liegen im Trend
Marken in Sozialen Medien
»
Erhöhte Chancenvielfalt
Anzeige
Stichwort
  • »Cyber-Kriminalität: Gefahrenzone World Wide Web: Viren-Autoren und Spam-Urheber agieren mit enormer krimineller Energie, so der Sicherheitsspezialist Message Labs in seinem Security Report für das Jahr 2009. Der Bericht zeigt, dass Botnets zwar Rückschläge erlitten, doch durch Überlebenskünstler-Qualitäten leider wieder schnell auf die Beine gekommen sind.
Buchtipp (IT)