Alyned Thinking

Why new thinking is needed and how we are putting our expertise to work.

8 neue Anforderungen für CIO und CISO aus der MaRisk-Novelle 2016

Vor wenigen Wochen, im Februar 2016, wurde ein Entwurf für die Novelle der Mindestanforderungen an das Risikomanagement (MaRisk) durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ausgegeben. Sollte der aktuelle Entwurf zur Konsultation so verabschiedet werden, würde dies sicherlich eines der größten regulatorischen Änderungen im deutschen Bankenwesen der letzten Jahre darstellen.

Wie bei jeder neuen regulatorischen Anforderung, müssen verantwortliche Personen in den jeweiligen Fachabteilungen analysieren, welche Bedeutung die neuen Anforderungen für ihre Verantwortungsbereiche haben und welche Maßnahmen zur Umsetzung notwendig sind.

Bei Alyne haben wir diesen Schritt schon einmal vorab für die Verantwortlichen von IT (CIO) und IT-Sicherheit (CISO) in Banken durchgeführt und haben 8 wesentliche Änderungen für diese Bereiche identifiziert.

1. Management und Qualität von Risikodaten

Anforderungen: Die Integrität und Nachvollziehbarkeit von Risikodaten sind sicherzustellen, manuelle Eingriffe bei der Verarbeitung sind als Ausnahmen zu dokumentieren, Kontrollen zur Qualitätssicherung und Vollständigkeitsprüfung sind einzurichten, Aggregation von Risikodaten ist zu forcieren. (AT4.2, AT4.3.4, AT8.3)

Die Qualität und Integrität von Risikodaten ist im aktuellen Entwurf ein wiederkehrendes Thema. Die BaFin möchte sich nicht mehr mit Risikoreports zufriedengeben, die viele Wochen und umfangreiches Excel-Zauberwerk zur Erstellung erfordern. Vorrangig ist diese Anforderung an Markt- und Kreditrisiken gerichtet, aber operationelle Risiken - und damit IT- und IT-Sicherheitsrisiken sind hiervon nicht ausgenommen. Diese Anforderungen sind für CIOs und CISOs im Sinne des Regulators fast nur durch integrierte IT-Risikomanagementsysteme umzusetzen. Dabei ist zu beachten, dass diese Risikomanagementsysteme nun auch durch angemessene IT-Controls zu schützen sind. Das Zeitalter des Risikomanagements auf Excel-Sheets auf den Laptops von Applikationsmanagern und IT-Projektleitern ist mit dieser Anforderung beendet.

2. Schutzbedarfsanalysen

Anforderungen: Maßnahmen für Daten- und Informationssicherheit müssen sich an einer Schutzbedarfsanalyse orientieren. (AT4.3.2, AT7.2)

Diese Anforderung ist nur knapp erwähnt, hat aber weitreichende Auswirkungen für die Formalisierung des IT-Risikomanagements und IT-Sicherheitsmanagements. Die Umsetzung erfordert zunächst einen strukturierten Prozess für IT-Risikocontrolling, eine konsequente Informationsklassifikation und eine skalierbare und nachhaltige Lösung zur Erhebung von IT-Risiken und Ermittlung des entsprechenden Schutzbedarfs. Auch hier gilt: Excel-Lösungen werden nicht ausreichen.

3. Auslagerungen

Anforderungen: Risiken aus Weiterverlagerung und Risikokonzentrationen sind zu identifizieren, Strategien für den Ausstieg sind zu definieren (vendor continuity strategies), zentrales Auslagerungsmanagement ist einzurichten, Schutzmaßnahmen der Vendoren sind zu prüfen, Vendoren von Dienstleistungen zum Risikomanagement müssen wesentliche Annahmen und Parameter offenlegen. (AT9)

Die BaFin erweitert den Begriff der Auslagerung signifikant über die gängige Praxis hinaus. Während viele Banken möglicherweise ihren Datacenter-Betreiber und vielleicht noch externe Wertpapierabwicklung als Auslagerung betrachtet haben, fallen nun viel mehr Dienstleistungen in diese Kategorie. Prozesse für das Controlling, Risikomanagement und den Ausstieg vom jeweiligen Dienstleister müssen nun formalisiert werden. Obwohl diese Anforderung nicht ausschließlich CIO und CISO betreffen, werden in der Praxis gerade aus diesen Bereichen die Mehrheit der Auslagerungen anfallen. Entsprechend ist beim CIO bzw. CISO auch signifikanter Aufwand zur Umsetzung zu erwarten. Hier ist sogar Alyne direkt betroffen: Als Dienstleister für Risikomanagement müssen wir wesentliche Annahmen und Parameter zum Risikomanagement offenlegen.

4. Rezertifizierung von IT-Berechtigungen

Anforderungen: Kritische IT-Berechtigungen müssen alle 6 Monate, alle verbleibenden alle 12 Monate überprüft werden. (AT4.3.1)

Für viele Banken, die international tätig sind, wird diese Anforderung nicht neu sein und viele Institute haben viel Geld und Aufwand in Identity und Access Governance Prozesse in den letzten Jahren investiert in Erwartung dieser Anforderung. Während die bisherige Anforderung auf Zahlungsverkehrskonten fokussiert war, wurde in der neuen Formulierung die Anforderung auf alle IT-Berechtigungen erweitert.

5. Wesentlichkeitsbewertung

Anforderungen: Die Innenrevision hat eine Wesentlichkeitsbewertung von Aktivitäten und Prozessen zu überprüfen. (BT2.3)

Obwohl dies eine klare Aufgabe der Revision ist, habe ich die Anforderung dennoch in diese Liste aufgenommen. In der Praxis werden insbesondere in den Bereichen von CIO und CISO signifikante Beistellleistungen erforderlich sein, um diese Anforderung umzusetzen. Bei der Aufwandsbewertung für MaRisk-Compliance sollten CIO und CISO daher diese Anforderung im Auge behalten.

6. Risikokultur

Anforderungen: Geschäftsleiter sind für Kontroll- und Überwachungsprozesse für das Risikomanagement in ihren Bereich verantwortlich und haben Risikokultur vorzuleben und in das tägliche Handeln ihrer Mitarbeiter zu integrieren. (AT3)

Die BaFin hat in ihrem Kommentar zur Veröffentlichung des Entwurfs betont, dass die Anforderungen zur Risikokultur kein neues Risikomanagement erfordern. Sie setzen jedoch die Erwartung, dass Institute nicht nur die Mindestanforderungen an das Risikomanagement abarbeiten, sondern dieses Risikobewusstsein in das tägliche Handeln der Mitarbeiter integrieren. Für CIO und CISO ist diese Änderung aus meiner Sicht eine Aufforderung, das Bewusstsein für Cyber-Risiken und den sicheren Umgang mit vertraulichen Daten zu schärfen. Das Mandat geht über die Ablage von IT-Richtlinien auf Netzlaufwerken und Risikolisten in Excel-Sheets hinaus.

7. Risikoreporting

Anforderungen: Ein Bericht über wesentliche operationelle Risiken sowie über die Leistungserbringung von ausgelagerten Dienstleistungen ist der Geschäftsleitung mindestens jedes Quartal vorzulegen. (BT3.2, BT3.5)

Der komplette Abschnitt über die Berichtspflichten der Institute intern sowie an die BaFin wurde überarbeitet. Möglicherweise müssen einige regulierte Institute ihre aktuellen Reporting-Prozesse für operationelle Risiken formalisieren. Vermutlich werden viele Banken jedoch in der Berichterstellung über ausgelagerte Dienstleistungen nachlegen müssen.

8. Cool-off für Kontrollfunktionen

Anforderungen: Während Übergangsfristen dürfen zu einer Kontrollfunktion gewechselte Mitarbeiter keine Überprüfung ihres bisherigen Tätigkeitsbereichs vornehmen. (AT4.3.1, BT2.2)

Diese neue Anforderung wird in vielen Instituten bereits gelebt, wird jedoch hier formalisiert. Die klare Zielsetzung ist eine Vermeidung der Selbstprüfung und eine Hinführung zur stärkeren Trennung von Fachbereich und Kontrollfunktion. Die Kontrollfunktion erstreckt sich hierbei über die Revision hinaus und schließt Risikocontrolling mit ein. Für den CIO und den CISO ist diese Anforderung möglicherweise besonders relevant, da im IT-Sicherheitsmanagement, IT-Governance, IT-Risikomanagement, GRC-Abteilungen, etc. häufig eine schwächere Rollentrennung gelebt wird, als beispielsweise zwischen Markt- und Risikocontrolling-Einheiten.

Es werden noch einige Monate vergehen, bis eine verbindliche Version der neuen Regulierung veröffentlicht wird. Für CIO und CISO sind die Trends jedoch ersichtlich und die zukünftigen Schwerpunkte von Prüfungen durch Revision, Jahresabschlussprüfer und BaFin leicht erkennbar. Viele Banken werden für die Umsetzung der Anforderungen bereits Budget für 2016 vorgesehen haben. Mit dem aktuellen Entwurf lässt sich bereits mit der Planung für die Umsetzung beginnen.

Für Alyne Kunden stellen wir selbstverständlich angepasste Control Sets für die Umsetzung sowie die Messung des Reifegrads der Compliance zur neuen MaRisk zur Verfügung und werden auf unserem Blog über weitere Entwicklungen der Novelle berichten.


Image credit FloKu/photocase

 

Karl Viertel
Author: Karl Viertel
About the author
Founder & CEO of Alyne, IT security professional, gadget enthusiast.