Detail

EBA SREP Guidelines zu ICT Risk (EBA/CP/2016/14)

07.04.2017

Bereits in den EBA Leitlinien zum SREP (EBA/GL/2014/13) hat die Aufsicht das Thema Information and communication technology (ICT) risk als Teil des Operationellen Risikos adressiert. Im aktuellen Konsultationspapier zur MaRisk Novelle wurden in AT 7.2 Tz. 4 die IT-Risiken aufgenommen.

Die EBA konkretisiert in den im Dezember vorgelegten Guidelines on ICT Risk Assessment under the Supervisory Review and Evaluation process (EBA/CP/2016/14) ihren künftigen Prüfungsansatz für das ICT-Risiko. Die bis 06.01.2017 konsultierten Leitlinien sind in 3 Teile gegliedert, die nachfolgend kurz beleuchtet werden.

Teil 1: Generelle Vorschriften

  • Wie in Säule II üblich, sind die Leitlinien proportional in Abhängigkeit von Größe, Art und Umfang des Geschäftsbetriebs anzuwenden. Die Aufseher sollten Ergebnisse anderer Risikoprüfungen inkl. des Abarbeitens von Monita berücksichtigen und vorhandene und verfügbare Reports und Dokumentationen nutzen.
  • Die Aufsicht sollte prüfen, ob die ICT-Strategie negative Auswirkungen auf die Geschäftsstrategie hat. Besonders wichtig ist hier die Beurteilung, ob dem Institut ausreichend ICT-Ressourcen und -Fähigkeiten zur Verfügung stehen, um die geplanten strategischen Änderungen in Projekten umzusetzen. Dieser Aspekt fließt in die Beurteilung des Geschäftsmodells im Rahmen des SREP ein.
  • Das Ergebnis der Prüfung des ICT-Risikos wiederum geht in die Beurteilung und Findings zum Operationellen Risiko ein. Alternativ kann die Aufsicht auch die Möglichkeit des §116 SREP nutzen und festlegen, dass das ICT-Risiko ein materielles Risiko für das Institut darstellt und von diesem gesondert als Teilkategorie des OpRisk auszuweisen ist.
  • Grundlage für die Beurteilung ist die im Anhang der Leitlinien dargestellte Liste mit ICT- Risiken bzw. -Risikoszenarien.

Teil 2: Prüfung der Governance und Strategie zu ICT

Das Konsultationspapier unterteilt diesen Teil der Prüfungsbestimmungen in die drei Aspekte ICT-Strategie, interne Governance und Integration der ICT-Risiken im Risikomanagement-Framework.

Im Kontext ICT-Strategie liegt der Fokus auf dem Business-IT-Alignment mit den Fragestellungen, ob die ICT-Strategie konsistent zur Geschäftsstrategie ist und ob sie adäquat gesteuert wird bzw. in die Steuerungssysteme eingebunden ist.

Geprüft wird zunächst die Strategieentwicklung und -angemessenheit. Dies beinhaltet erstens, ob auf der Führungsebene ein ausreichendes Verständnis zu ICT vorhanden ist, zweitens ob es ein Rahmenwerk bzw. Richtlinien in Abhängigkeit von Art, Umfang und Komplexität des Geschäftsbetriebs gibt, um die ICT-Strategie auch umsetzen zu können und drittens eine Prüfung der ICT-Ressourcen und -Umsetzungsfähigkeiten, um die wichtigen geplanten strategischen Änderungen umzusetzen bzw. zu unterstützen. In diesem Prüfungspunkt spiegelt sich die Sichtweise der Aufsicht wider, dass die ICT eine wesentliche Bedeutung für einen dauerhaften und nachhaltigen Geschäftserfolg hat. Durch Sparmaßnahmen verursachte Defizite im ICT-Umfeld etwa könnten einen stark negativen Einfluss auf einen nachhaltigen Unternehmenserfolg haben.

Für die Implementierung der ICT-Strategie muss proportional zu den strategischen Vorhaben und deren Bedeutung für das Geschäftsmodell ein adäquates Steuerungssystem mit den Elementen Ausgestaltung der Governance-Prozesse, Rollen und Verantwortlichkeiten für die Umsetzung der Strategieprogramme, Mechanismen der unabhängigen Überwachung bzw. der internen Revision und schließlich Planung und Review der Planung vorhanden sein.

Im Rahmen der übergeordneten internen Governance wird eine angemessene und transparente Organisationsstruktur mit klaren Verantwortlichkeiten für ICT bis auf Managementebene gefordert, Das Management muss die mit ICT verbundenen Risiken kennen und adressieren.

Schließlich müssen die ICT-Risiken proportional angemessen in das Risikomanagement-Framework integriert werden, u.a. betreffend Risikoappetit und ICAAP (jeweils bezogen auf OpRisk) sowie Stresstests.

Teil 3: Prüfung des ICT-Risiko-Potentials und der Steuerungsmechanismen

Der dritte Teil der Leitlinien adressiert zunächst allgemein das ICT-Risikomanagement-Framework (damit ganz klassisch die Identifikation, Messung und Steuerung der Risiken) als Teil des Risikomanagement-Frameworks für Operationelle Risiken. Dies inkludiert auch Prozesse und Steuerungsmechanismen, die die Risiken entschärfen bzw. vermindern.

Der generellen SREP Logik folgend wird im ersten Schritt das Risikopotential (Risk Exposure) geprüft. Die Aufsicht prüft folgende Sachverhalte:

  • Self Assessment der ICT-Risiken und der ICT-Risikosteuerung
  • Informationen zu ICT-Risiken für das Management, z.B. regelmäßig und anlassbezogen im Risikobericht. Dies bedingt die Kennzeichnung der relevanten ICT-Verluste in der Verlustdatenbank für OpRisk, um das ICT-Risiko-Exposure ermitteln zu können.
  • Findings der internen Revision sowie der Wirtschaftsprüfer und deren Status der Abarbeitung.

Die Materialität der ICT-Risiken wird nach folgendem Vorgehen ermittelt bzw. geprüft:


Anschließend widmet sich die EBA ausführlich den Steuerungsmechanismen für die ICT Risiken. U.a. sind dezidiert Risikoappetit und Toleranzschwellen für ICT-Risiken festzulegen. Die EBA hat folgendes Grundgerüst an ICT-Risikodefinitionen formuliert:

Für jedes Teilrisiko werden konkrete Steuerungsgrundsätze formuliert, die Gegenstand der aufsichtlichen Prüfung sind und daher auch als Leitlinie für die Institute fungieren. Bemerkenswert in diesem Zusammenhang sind die Punkte ICT-Änderungsrisiko (Change Risk) und ICT-Auslagerungsrisiko (Outsourcing Risk). Hier spiegelt sich erneut die Bedeutung der IT als ein wesentlicher Faktor für die Umsetzung der Geschäftsstrategie wider. Zu starke Streichungen etwa oder Outsourcing können sich negativ auf die Umsetzungskompetenzen einer Bank auswirken. Wer damit ICT-Risiko nur als Bedrohungsszenario durch Angriffe von außen oder innen auffasst, wird den aufsichtlichen Anforderungen nur in Teilen gerecht.

Schließlich wird aus der Beurteilung der Steuerung und des ICT-Risiko-Potentials der ICT-Risiko-Score als Teilnote für das Operationelle Risiko abgeleitet.

Fazit

Die EBA geht mit dem nun formulierten Prüfungsansatz deutlich über die nationalen Anforderungen der MaRisk – auch in der konsultierten Fassung der Novelle – hinaus und konkretisiert notwendige Maßnahmen der Institute zur Steuerung der ICT-Risiken. Viele der genannten Maßnahmen sind zwar bereits heute in den Instituten etabliert, wie bspw. der Change Management Prozess nach ITIL als konkrete Maßnahme im Kontext ICT-Änderungsrisiko. Um den Erwartungen der EBA gerecht zu werden, sind die Institute jedoch aufgefordert, ein adäquat differenziertes und nachweislich funktionierendes (Operational) ICT-Risiko-Management-Framework zu etablieren.

  • ICAAP
  • IT-Risiko
  • Operationelles Risiko
  • Säule 2
  • SREP

Ihr Ansprechpartner

Peter Nuding, Senior Manager

Peter Nuding
Senior Manager

+49 (0)171 4903234
Peter.Nuding@plenum.de

Newsletter
abonnieren