„Die Digitalisierung bringt für Banken wachsende IKT-Risiken – von operativer Resilienz bis zur Einhaltung regulatorischer Vorgaben wie DORA, MaRisk und BAIT. movisco unterstützt Institute mit einem smarten und zukunftssicheren IKT-Risikomanagement, das präventive Maßnahmen und effektive Reaktionsstrategien vereint. So helfen wir Banken, regulatorische Anforderungen zu erfüllen und ihre digitale Widerstandsfähigkeit nachhaltig zu stärken."
Daniel Settgast, Senior Manager
Die zunehmende Digitalisierung stellt Banken vor neue Herausforderungen, insbesondere im Umgang mit Informations- und Kommunikationstechnologie (IKT)-Risiken. Diese Risiken betreffen nicht nur die operative Resilienz, sondern auch die Einhaltung aufsichtsrechtlicher Vorgaben, wie sie in der EU-Verordnung DORA und nationalen Regelwerken wie MaRisk und BAIT festgelegt sind. Um den gestiegenen Anforderungen gerecht zu werden, müssen Institute ihre Governance-Strukturen anpassen und IKT-Risiken als wesentlichen Bestandteil ihrer Geschäftsstrategie verankern.
Dabei ist es entscheidend, ein ganzheitliches Risikomanagement zu etablieren, das sowohl präventive Maßnahmen als auch effektive Reaktionsstrategien umfasst. movisco unterstützt Banken dabei, maßgeschneiderte Lösungen zu entwickeln, die nicht nur regulatorische Anforderungen erfüllen, sondern auch die digitale Widerstandsfähigkeit nachhaltig stärken.
Nachdem die EBA im Juli 2014 die Bedeutung von IT-Risiken im SREP (Supervisory Review and Evaluation Process) betonte und im Mai 2017 ein separates IT-SREP Verfahren für bedeutende (SIs) und weniger bedeutende (LSIs) Banken initialisiert hat, erweiterte sich die Risikolandkarte entsprechend. Ende Oktober 2017 wurden auch die MaRisk dahingehend überarbeitet und die Anforderungen des §25a KWG gemeinsam mit den BAIT prinzipienbasiert konkretisiert.
Die neuen “Digital operational resilience for the financial sector and amending regulations“ (EU-Verordnung 2022/2254), DORA, stellen das Beherrschen von IKT-Risiken, neben der quantitativen Bemessung im Rahmen operationeller Risiken, ebenfalls in den Mittelpunkt, welche jedoch weitestgehend in den BAIT und den MaRisk prinzipienorientiert verankert sein dürften.
Die aufsichtliche Überprüfung und Bewertung (SREP) legt bei der Einschätzung der Risikoprofilnote zunehmend den Fokus auf die IT-Governance und IT-Strategie der Banken. Dabei werden die Funktionsfähigkeit und Sicherheit der IKT einer Bewertung unterzogen und im Hinblick auf ihre Angemessenheit geprüft. Festgestellte Mängel können durch eine höhere Risikoprofilnote und/oder Kapitalzuschläge sanktioniert werden.
Da sich SREP-Zuschläge als RWA-Äquivalent in Säule 2 niederschlagen, können sie unter anderem als Materialitätskriterium zur Beurteilung der Wesentlichkeit von IKT-Risiken im Hinblick auf die Vermögens- und Finanzlage im Rahmen der Risikotragfähigkeitsbetrachtung des Instituts herangezogen werden.
Mit der fortschreitenden Digitalisierung bankinterner Prozesse und Wertschöpfungsketten gewinnt das interne Kontrollsystem (IKS) weiter an Bedeutung. Die Steuerung und Kontrolle von IKT-Risiken sind nicht nur regulatorische Anforderungen, sondern auch essenzielle Bestandteile der Risiko- und Geschäftsstrategie. Eine wirksame Governance erfordert eine aktive Kontrolle durch die Geschäftsleitung sowie die Einbettung in die Risikokultur und das Risk Appetite Framework (RAF) der Bank.
Für eine funktionierende IT-Governance müssen die Aufgaben, Schnittstellen und Verantwortlichkeiten des IKT-Managements prozess- und funktionsübergreifend klar definiert sein. Dabei spielt das Three-Lines-of-Defense (TLoD)-Modell eine zentrale Rolle. Es gewährleistet eine strukturierte Überwachung, Koordination und Steuerung von IKT-Prozessen und -Risiken innerhalb des IKS der Bank.
Wir freuen uns über Ihre direkte Kontaktaufnahme!