Deutsche Finanzinstitute wurden 2005 erstmalig mit den Mindestanforderungen an das Risikomanagement (BA) konfrontiert. Seither wurde die ursprüngliche Fassung der Verwaltungsanweisungen der BaFin zur Ausgestaltung des Risikomanagements stetig weiterentwickelt, eine Neufassung trat 2013 in Kraft. Sprachen Experten zunächst vom „Flickenteppich“ Risikomanagement bei den Instituten, hat sich Stand heute zwar einiges getan, dennoch herrscht mit Blick auf die Banken-IT immer noch vielerorts Handlungsbedarf.
Aktuellen Studien zufolge sind notwendige IT-Anpassungen mit Blick auf die MaRisk bei deutschen Finanzinstituten noch immer nicht flächendeckend umgesetzt. Auch die agentes kommt in ihrer Entscheiderbefragung zu diesem Ergebnis. Von den Instituten, die in den letzten Jahren einer IT-Prüfung unterzogen wurden, hatten 77 Prozent eine Feststellung.
Ein Risiko für das Risikomanagement
Während es vornehmlich um die Implementierung neuer Lösungen zur Einhaltung der Regularien geht, wie etwa die revisionssichere Verwaltung von Berechtigungen, verweist die agentes-Studie u.a. auf ein sehr wichtiges Handlungsfeld im Zusammenhang mit den MaRisk (BA): den stark verbreiteten Einsatz von Tabellenkalkulationsdateien. Viele Häuser setzen Programme wie Microsoft Excel beispielsweise in der Kundenberatung oder Unternehmenssteuerung ein. Eine Flut von Dateien ist die Folge – in der Befragung sind es bei 20 Prozent der Häuser mehr als 50.000. Doch der Einsatz von Tabellenkalkulationsdateien stellt ein Risiko dar: im Zuge manueller Eingaben kommt es zu Fehleintragungen, zudem wird häufig nicht dokumentiert, woher die Autoren von Dateien ihre Informationen beziehen. Verlässt ein Mitarbeiter das Unternehmen, geht mit ihm häufig auch das Wissen um eine Datei.
Die Kunst der Implementierung
Wie jede Rechtsnorm, so verweist auch die MaRisk auf gängige Standards und formuliert lediglich abstrakt ihre Forderungen. So verbleibt es in der Verantwortung einer jeden Geschäftsführung, die richtigen Maßnahmen für ihre Verhältnisse und Bedürfnisse anzuwenden. Daher besteht die Kunst in erster Linie darin, die Vorgaben der IT-Standards, beispielsweise des BSI-Standards mit seinen Vorgaben zum Schutzbedarf, gemäß dem IT-Grundschutz umzusetzen, wie ihn u.a. auch die Sparkassen-Organisation in ihrer OPDV 1/2015 integriert hat. Hierbei geht es grundsätzlich um die Anforderungen der Unternehmensprozesse bzgl. der Verfügbarkeit, Vertraulichkeit und der Integrität der Daten, insbesondere beim Thema der Individuellen Datenverarbeitung (IDV). Die Bankenaufsicht fordert u.a., dass diese operationalen Risiken dokumentiert und mit nachvollziehbaren Begründungen eingestuft werden, damit diese auch für Dritte erkennbar sind. Einer der häufigsten bei Prüfungen aufgedeckten Mängel ist, dass den Fachbereichen oft professionelle Kenntnisse zu Prozessen, Methoden und Werkzeugen der (IDV-)Anwendungsentwicklung und zugehörigen Maßnahmen wie z.B. der Dokumentationen des Testmanagements und der Qualitätsicherung fehlen.
Experten mit ins Boot holen
Die MaRisk (BA) fordert die Institute dazu auf, sich einen Überblick über die im Haus vorhandenen Tabellenkalkulationen zu machen, zu dokumentieren und auch, herauszufinden, welche davon unter die Richtlinie fallen. Unterstützung können die Institute hierzu bei auf die Finanzbranche spezialisierten IT-Dienstleistern finden. Sie bieten Lösungen an, mit denen Tabellenkalkulationen bewertet, dokumentiert, freigegeben und versioniert werden können.
Bildquelle: Shutterstock
