A. Anforderungen der Aufsicht

Transkript

1 A. Anforderungen der Aufsicht I. Prinzipien-orientierte Aufsicht im Dialog Wenn man die Worte Anforderungen der Aufsicht als Überschrift dieses Kapitels wörtlich liest, könnte man vermuten, dass sowohl der Gesetzgeber als auch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und die Deutsche Bundesbank detaillierte Vorgaben zur IT und zur IT-Sicherheit veröffentlicht haben. Doch weit gefehlt. Wer das Kreditwesengesetz 1, die europäischen Regelungen Capital Requirements Regulation and Directive (CRR/CRD IV, deutsch: Kapitaladäquanzverordnung und -richtlinie) 2, und die Mindestanforderungen an das Risikomanagement (kurz: MaRisk) 3 sowie viele andere Regelungen des Aufsichtsrechts durchforstet, wird vergeblich nach detaillierten Vorgaben zur IT und zur IT-Sicherheit suchen. Auch die europäische Bankenaufsichtsbehörde EBA folgt in ihren im September 2011 veröffentlichten EBA Guidelines on Internal Governance dem Grundsatz, dass Banken gängigen IT-Standards folgen sollen und formuliert keine eigenen expliziten Anforderungen. Dies entspricht dem mittlerweile etablierten Geist der qualitativen Aufsicht in Deutschland, der mit der Einführung der MaRisk im Jahre 2005 im zugehörigen Anschreiben wie folgt erläutert wurde: wird die Abkehr von der traditionell Regel-basierten Aufsicht hin zu einer Prinzipien-orientierten Aufsicht und damit gleichzeitig ein Paradigmenwechsel eingeläutet, der sowohl Form und Stil der Regulierung als auch die bankaufsichtliche Praxis verändern wird. Einerseits entfällt damit das starre Regelkorsett, das in der Vergangenheit teilweise den Raum für unternehmerische Entscheidungen stark einschränkte. Andererseits verlangt es explizit mehr Eigenverantwortung. Auch von den bankgeschäftlichen Prüfern wird noch stärker als bisher die Beachtung des risikoorientierten Prüfungsansatzes erwartet. In den nun folgenden Kapiteln werde ich die grundlegenden aufsichtlichen Anforderungen an die IT in ihrem Zusammenspiel vorstellen. Die detaillierte Ausgestaltung der Umsetzung dieser Anforderungen verantwortet jedes Unternehmen selbst. Und sollte Ihr Unternehmen eines Tages zum Gegenstand einer bankgeschäftlichen Prüfung werden, so möchte ich Sie explizit dazu ment_%28ba%29&oldid=

2 ANFORDERUNGEN DER AUFSICHT ermutigen, selbstbewusst ihre Auslegung der Prinzipien mit den Prüfern zu diskutieren. Nur so kann Aufsicht im Dialog funktionieren. Ihr Feedback während Prüfungen dient uns nämlich auch zur Weiterentwicklung der aufsichtlichen Auslegungspraxis. Zunächst gebe ich den für IT relevanten Teil des 25a des Kreditwesengesetzes zum Oktober 2014 wieder. Danach wird unser Weg über die relevanten Passagen der Mindestanforderungen an das Risikomanagement zu einem Über-blick der Marktstandards der IT führen. Wer sich die teilweise anstrengende Lektüre der Texte der Vorschriften ersparen möchte, kann ohne größere Verluste zu den themenbezogenen Anforderungen in den Folgekapiteln springen. Diese sind in weiten Teilen auch einzeln lesbar. Grundlegende Aspekte wie die Verantwortung der Fachabteilung werden aber wie ein roter Faden in fast alle Themen aufscheinen. Meine bisherigen Ausführungen dürfen allerdings nicht darüber hinwegtäuschen, dass ab dem Jahr 2015 Veränderungen der regulatorischen Vorgaben zu erwarten sind. Zum gegenwärtigen Zeitpunkt im Oktober 2014 sind die meisten der Neuerungen noch nicht im Stadium eines Entwurfes vorhanden, sondern werden noch in Arbeitsgruppen diskutiert. Konkrete Termine zur Veröffentlichung oder Inkraftsetzung sind noch nicht bekannt. Ich habe daher einen neuen Abschnitt zu neuen bzw. veränderten Anforderungen verfasst, der sich überblicksartig mit den die Regeln setzenden Gremien und den möglicherweise zu erwartenden Regelungen befasst. Die nun folgenden Kapitel geben ausschließlich meine persönliche Sichtweise wieder. Im Rahmen bankgeschäftlicher Prüfungen interpretiert jeder Prüfungsleiter die bankaufsichtlichen Anforderungen angepasst auf das geprüfte Unternehmen. II. Überblick zu den bankaufsichtlichen Anforderungen und Marktstandards 1. Kreditwesengesetz 1.1. Am Anfang war der 25a KWG 8 Der Ausgangspunkt bankaufsichtlicher Regelungen zur IT und zur IT- Sicherheit ist der durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) in das Kreditwesengesetz eingefügte 25a 4

3 KWG, der die Unternehmensleitung dazu zwingt, ein unternehmensweites Früherkennungssystem für Risiken und damit selbstverständlich auch für IT- Risiken einzuführen und zu betreiben. Ich weise durch die Markierung mit Fettdruck auf Textpassagen hin, die für die IT bedeutsam sind a Besondere organisatorische Pflichten von Instituten (1) Ein Institut muss über eine ordnungsgemäße Geschäftsorganisation verfügen, die die Einhaltung der vom Institut zu beachtenden gesetzlichen Bestimmungen und der betriebswirtschaftlichen Notwendigkeiten gewährleistet. Die Geschäftsleiter sind für die ordnungsgemäße Geschäftsorganisation des Instituts verantwortlich; sie haben die erforderlichen Maßnahmen für die Ausarbeitung der entsprechenden institutsinternen Vorgaben zu ergreifen, sofern nicht das Verwaltungs- oder Aufsichtsorgan entscheidet. Eine ordnungsgemäße Geschäftsorganisation muss insbesondere ein angemessenes und wirksames Risikomanagement umfassen, auf dessen Basis ein Institut die Risikotragfähigkeit laufend sicherzustellen hat; das Risikomanagement umfasst insbesondere 1. beinhaltet die Festlegung von Strategien, insbesondere die Festlegung einer auf die nachhaltige Entwicklung des Instituts gerichteten Geschäftsstrategie und einer damit konsistenten Risikostrategie, sowie die Einrichtung von Prozessen zur Planung, Umsetzung, Beurteilung und Anpassung der Strategien; 2. Verfahren zur Ermittlung und Sicherstellung der Risikotragfähigkeit, wobei eine vorsichtige Ermittlung der Risiken und des zu ihrer Abdeckung verfügbaren Risikodeckungspotenzials zugrunde zu legen ist; 3 die Einrichtung interner Kontrollverfahren mit einem internen Kontrollsystem und einer Internen Revision, wobei das interne Kontrollsystem insbesondere a) aufbau- und ablauforganisatorische Regelungen mit klarer Abgrenzung der Verantwortungsbereiche, b) Prozesse zur Identifizierung, Beurteilung, Steuerung sowie Überwachung und Kommunikation der Risiken entsprechend den in Titel VII Kapitel 2 Abschnitt 2 Unterabschnitt II der Richtlinie 2013/36/EU niedergelegten Kriterien und c) eine Risikocontrolling-Funktion und eine Compliance-Funktion umfasst; 10 5

4 ANFORDERUNGEN DER AUFSICHT 4. eine angemessene personelle und technisch-organisatorische Ausstattung des Instituts; 5. die Festlegung eines angemessenen Notfallkonzepts, insbesondere für IT-Systeme, und 1.3. Zusammenfassung Das Kreditwesengesetz fordert von der gesamten Unternehmensleitung eine angemessene Geschäftsorganisation sowie ein angemessenes Management sämtlicher Risiken und damit auch der IT-Risiken als Teilmenge der operationellen Risiken. Allerdings bedürfen die abstrakten Anforderungen nach ordnungsgemäßer Geschäftsorganisation, angemessenen interne Kontrollverfahren, angemessener Strategie und angemessener Sicherheitsvorkehrungen sowie Prozesse zur Identifizierung, Beurteilung, Steuerung sowie Überwachung und Kommunikation der Risiken der Auslegung. Auch wenn das Kreditwesengesetz und auch der 25a KWG regelmäßig insbesondere durch die Weiterentwicklung der internationalen regulatorische Anforderungen angepasst werden, so bleibt der Geist der Regelung doch seit Jahren derselbe. Auf Basis dieser stabilen Rahmenbedingungen können Sie strategisch die Organisation der IT Ihres Unternehmens weiterentwickeln. Erfahrungsgemäß dienen Textveränderungen und Texterweiterungen der MaRisk aus Sicht der IT lediglich der Klarstellung bereits existierender Anforderungen. Sollten Sie im Zweifel sein, ob eine Textveränderung materiell bedeutsam ist, empfehle ich Ihnen, Kontakt zum für Sie zuständigen Aufseher aufzunehmen. Ein Gespräch oder ein Telefonat können meist Zweifel ausräumen. Besonders möchte ich darauf hinweisen, dass der neu in das KWG aufgenommene 25c KWG die Geschäftsleiter explizit für die Einhaltung zahlreicher Anforderungen des 25a KWG verantwortlich macht. 2. Auslegung der abstrakten Anforderungen des 25a KWG durch Veröffentlichungen der BaFin 2.1. Mindestanforderungen an das Risikomanagement (MaRisk) 14 Um Klarheit darüber zu schaffen, wie die Normen des 25a KWG auszulegen sind, veröffentlichte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) am die detaillierten Regelungen der»mindestanforderungen an das Risikomanagement«(MaRisk). Mit den MaRisk wurden 6

5 viele der bisher separat veröffentlichten Anforderungen in einem zeitgemäßen Regelwerk gebündelt. Diese MaRisk wurden über die Jahre hinweg weitergepflegt, eine Anpassung wird für das vierte Quartal 2014 erwartet. Hinsichtlich des Managements operationeller Risiken sind die Anforderungen im Abschnitt BTR 4 der MaRisk immer noch sehr allgemein gehalten, Für die Identifizierung und Beurteilung der wesentlichen Risiken sowie die Berichterstattung wird z. B. ein jährlicher Turnus vorgeschrieben. Einige Regeln hinsichtlich des Umgangs mit aufgetretenen Verlusten wurden formuliert. Konkrete Anforderungen an den Umgang mit IT-Risiken sind auch hier nicht zu finden. Erst im allgemeinen Teil der MaRisk in Abschnitt AT 7.2 Technischorganisatorische Ausstattung werden wir fündig: 1. Umfang und Qualität der technisch-organisatorischen Ausstattung haben sich insbesondere an betriebsinternen Erfordernissen, den Geschäftsaktivitäten sowie der Risikosituation zu orientieren. Dieser lapidare Satz klingt wie eine Selbstverständlichkeit, doch in der Prüfungspraxis ist immer wieder festzustellen, dass Banken geschäftliche Aktivitäten auf unzureichender Unterstützung mit IT betreiben. Eine ursprünglich für zehn Geschäfte im Monat geeignete Anwendung eignet sich nicht immer auch für zehn Geschäfte am Tag. 2. Die IT-Systeme (Hardware- und Software-Komponenten) und die zugehörigen IT-Prozesse müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen. Für diese Zwecke ist bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen. ( ) Die Erläuterungen zu dieser Regel führen aus: Zu solchen Standards zählen z. B. der IT-Grundschutzkatalog des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der internationale Sicherheitsstandard ISO/IEC 2700X der International Standards Organization. Das Abstellen auf gängige Standards zielt nicht auf die Verwendung von Standard-Hardware beziehungsweise -Software ab. Eigenentwicklungen sind grundsätzlich ebenso möglich. Die deutsche Bankenaufsicht verzichtet genauso wie die europäische Bankenaufsicht angesichts der Vielzahl nationaler und internationaler Standards zur Organisation von IT auf die Formulierung eigenständiger Regelwerke. Diese Regelwerke könnten lediglich schon Bestehendes kopieren und sich damit

6 ANFORDERUNGEN DER AUFSICHT dem Problem der Veralterung aussetzen. Ebenso werden detaillierte Vorgaben nicht mehr dem prinzipien-orientierten Charakter der bankaufsichtlichen Regelwerke gerecht. ( ) Insbesondere sind Prozesse für eine angemessene IT-Berechtigungsvergabe einzurichten, die sicherstellen, dass jeder Mitarbeiter nur über die Rechte verfügt, die er für seine Tätigkeit benötigt; die Zusammenfassung von Berechtigungen in einem Rollenmodell ist möglich. ( ) Hierzu wird ergänzend erläutert: Die eingerichteten Berechtigungen dürfen nicht im Widerspruch zur organisatorischen Zuordnung von Mitarbeitern stehen. Insbesondere bei Berechtigungsvergaben im Rahmen von Rollenmodellen ist darauf zu achten, dass Funktionstrennungen beibehalten beziehungsweise Interessenkonflikte vermieden werden. Diese gesamte Passage zur Benutzerberechtigungsvergabe ist lediglich eine Klarstellung dessen, was Standards zur IT bereits einfordern. Da es in der Praxis in diesem Bereich immer wieder zu Beanstandungen kommt, hat man sich zu dieser Klarstellung entschieden. ( ) Die Eignung der IT-Systeme und der zugehörigen Prozesse ist regelmäßig von den fachlich und technisch zuständigen Mitarbeitern zu überprüfen. Die in Abschnitt AT 7.2 der MaRisk nun noch folgenden Sätze drei und vier heben lediglich Teilaspekte der bereits in den Standards geregelten Prozesse zu Anwendungsentwicklung und Change Management besonders hervor, ohne inhaltlich über den Satz zwei hinauszugehen. 3. Die IT-Systeme sind vor ihrem erstmaligen Einsatz und nach wesentlichen Veränderungen zu testen und von den fachlich sowie auch von den technisch zuständigen Mitarbeitern abzunehmen. Hierfür ist ein Regelprozess der Entwicklung, des Testens, der Freigabe und der Implementierung in die Produktionsprozesse zu etablieren. Produktionsund Testumgebung sind dabei grundsätzlich voneinander zu trennen. Hierzu wird die in den Erläuterungen die Risikoorientierung hervorgehoben: Bei der Beurteilung der Wesentlichkeit von Veränderungen ist nicht auf den Umfang der Veränderungen, sondern auf die Auswirkungen, die eine Veränderung auf die Funktionsfähigkeit des betroffenen IT-Systems haben kann, abzustellen. Des Weiteren wird erläutern die MaRisk die Verantwortung der Geschäftsleitung bei Vorliegen von Testaten Dritter zur Abnahme von Anwendungen: Bei der Abnahme durch die fachlich und die technisch zuständigen Mitarbeiter 8

7 steht die Eignung und Angemessenheit der IT-Systeme für die spezifische Situation des jeweiligen Instituts im Mittelpunkt. Gegebenenfalls vorliegende Testate Dritter können bei der Abnahme berücksichtigt werden, sie können die Abnahme jedoch nicht vollständig ersetzen. 4. Die Entwicklung und Änderung programmtechnischer Vorgaben (z. B. Parameteranpassungen) sind unter Beteiligung der fachlich und technisch zuständigen Mitarbeiter durchzuführen. Die programmtechnische Freigabe hat grundsätzlich unabhängig vom Anwender zu erfolgen. Absatz vier greift den bereits in den Mindestanforderungen an Handelsgeschäfte (MaH) formulierten Aspekt des Change Managements programmtechnischer Vorgaben auf, ohne allerdings den Begriff programmtechnischer Vorgaben explizit zu klären. Das Notfallmanagement wird in AT 7.3 der MaRisk besonders erwähnt, obwohl das technische Notfallmanagement bereits in AT 7.2 Satz zwei über den Verweis auf die Standards geregelt ist. Dies liegt daran, dass die Anforderungen der MaRisk über die rein technischen Aspekte des Notfallmanagements hinausgehen und ein ganzheitliches Notfallmanagement für das gesamte Unternehmen fordern. Daher widme ich dem Notfallmanagement ein separates Kapitel, während die technische Notfallplanung bei IT-Anwendungen bzw. IT-Infrastruktur mit behandelt wird. Die Regelungen zum Auslagerungsmanagement werden in 25b KWG (früher: 25a Abs. 2 KWG) grundlegend formuliert und in Abschnitt AT 9 der MaRisk detaillierter ausgelegt. Diese Anforderungen lassen sich grundsätzlich auch unter den Begriff der ordnungsgemäßen Geschäftsorganisation des 25a Abs. 1 KWG subsumieren und dienen primär der Klarstellung Zusammenfassung Durch den Verweis auf gängige Standards bleiben die Anforderungen des Abschnitts AT 7.2 der MaRisk dem Paradigma der prinzipienorientierten Aufsicht treu und formulieren lediglich abstrakt die Forderung nach Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der verarbeiteten Daten. Es verbleibt in der Verantwortung jeder Geschäftsleitung, einen oder mehrere gängige Standards teilweise oder komplett auf die eigenen Verhältnisse und Bedürfnisse hin auszulegen und anzuwenden. Ob und inwieweit dies dem abstrakten Kriterium der Angemessenheit gerecht wird, kann zukünftig nicht mehr im Vergleich gegen harte Regeln be

8 ANFORDERUNGEN DER AUFSICHT antwortet werden. Eine kleine Volksbank muss anders organisiert sein als eine Regionalbank oder eine Investmentbank. Daher werden die abstrakten Regeln primär im Vergleich eines Kreditinstituts gegen Institute vergleichbarer Größe mit vergleichbarem Geschäftsmodell ausgelegt. Eine detaillierte Formulierung von Mindestanforderungen an die IT, die allen Instituten jeder Größe gerecht wird, erscheint mir unmöglich. 3. Marktstandards der IT 30 Da sich mit Beschreibungen einzelner Marktstandards bereits Regale füllen lassen, möchte ich mich hier auf eine kurze Charakterisierung einiger gängiger Standards beschränken BSI-Standards Das 1991 gegründete Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt eine wichtige Quelle nationaler Standards zur IT Sicherheit dar. Da IT-Sicherheitsanalysen aufwendig und teuer sind und waren, veröffentlichte das BSI mit dem IT-Grundschutzhandbuch (GSHB) für den mittleren Schutzbedarf einen Maßnahmenkatalog für IT-Sicherheitspraktiker. Darüber hinaus stellte das BSI methodische Ansätze zur Verfügung, mit Hilfe derer systematisch eine individuelle Schutzbedarfsanalyse durchgeführt werden kann. Um das Werk übersichtlicher zu gestalten, gliederte das BSI die Inhalte des Grundschutzhandbuchs neu und veröffentlichte insbesondere folgende Standards, die über die Webseite des BSI ( unter der Rubrik IT-Grundschutz abgerufen werden können. BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS) Dieser Standard ist kompatibel zum ISO-Standard und berücksichtigt die Empfehlungen der ISO-Standards und Darüber hinaus stellt er durch Verweise zur bisherigen IT-Grundschutz-Vorgehensweise ein hohes Maß an Kompatibilität sicher. BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise Die IT-Grundschutz-Vorgehensweise beschreibt Schritt für Schritt, wie IT- Sicherheitsmanagement in der Praxis aufgebaut und betrieben werden kann. Die Aufgaben des IT-Sicherheitsmanagements und der Aufbau einer IT- Sicherheitsorganisation sind dabei wichtige Themen. Durch die ausführliche 10

9 Interpretation der allgemein gehaltenen Anforderungen der ISO-Standards 13335, und hilft dieser Standard bei der praktischen Einführung eines IT-Sicherheitsmanagements. BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz Die IT-Grundschutz-Kataloge des BSI enthalten Standard-Sicherheitsmaßnahmen aus den Bereichen Organisation, Personal, Infrastruktur und Technik, die bei normalen Sicherheitsanforderungen in der Regel angemessen und ausreichend zur Absicherung von typischen IT-Landschaften sind. Für Bereiche, deren Sicherheitsanforderungen deutlich über das normale Maß hinausgehen (hoher oder sehr hoher Schutzbedarf), liefert dieser Standard eine effiziente Vorgehensweise auf Basis des bestehenden IT-Grundschutz. BSI-Standard 100-4: Notfallmanagement Mit dem BSI-Standard wird ein systematischer Weg aufgezeigt, ein Notfallmanagement in einer Behörde oder einem Unternehmen aufzubauen, um die Kontinuität des Geschäftsbetriebs sicherzustellen. Aufgaben eines Notfallmanagements sind daher, die Ausfallsicherheit zu erhöhen und die Institution auf Notfälle und Krisen adäquat vorzubereiten, damit die wichtigsten Geschäftsprozesse bei Ausfall schnell wieder aufgenommen werden können. Es gilt, Schäden durch Notfälle oder Krisen zu minimieren und die Existenz der Behörde oder des Unternehmens auch bei einem größeren Schadensereignis zu sichern ISO Standards Die Internationale Organisation für Normung/International Standardization Organization (ISO) veröffentlicht technische und organisatorische Normen für nahezu alle Bereiche des Lebens. Über das Deutsche Institut für Normung e. V. (DIN) ist die Bundesrepublik Deutschland im ISO als Mitglied vertreten. Bezüglich der IT seien nachstehende Standards exemplarisch aufgeführt. ISO/IEC 9126 ist ein nicht prozessbezogenes Modell zur Sicherstellung von Softwarequalität. SPICE (Software Process Improvement and Capability determination) oder auch ISO/IEC ist ein Modell zur Verbesserung der Prozessreife in Unternehmen der Softwarenentwicklung

10 ANFORDERUNGEN DER AUFSICHT ISO/IEC (Software Life Cycle Processes) ist ein Standard zur besseren Kommunikation zwischen Kunden und Lieferanten im Kontext von Projekten zu Entwicklung, Betrieb und Wartung von Softwaresystemen. ISO/IEC 2700x 4 ist eine Familie von Standards, die unterschiedliche Aspekte des Informationssicherheits-Managementsystems wie z. B. Grundbegriffe, Messverfahren und Risikomanagement beschreiben ITIL 42 ITIL 5 (IT Infrastructure Library) beschreibt die für den Betrieb einer IT- Infrastruktur notwendigen Prozesse. Kernkomponenten sind beispielhaft das Incident Management, das Problem Management, Change Management, Configuration Management und das Service Level Management genannt. Da ITIL lediglich die notwendigen Komponenten aber nicht deren Implementierung beschreibt, kann und muss ITIL auf jedes Unternehmen adaptiert werden CobiT 43 CobiT 6 (Control Objectives for Information and Related Technology) ist ein internationaler Standard zur IT-Governance. Er wurde ursprünglich vom internationalen Verband der EDV-Prüfer (Information Systems Audit and Control Association, ISACA) entwickelt. Seine Fortschreibung obliegt gegenwärtig dem IT Governance Institute, einer Schwesterorganisation der ISACA. Analog ITIL muss auch COBIT auf die konkrete Unternehmenssituation angepasst werden Weitere nationale Standards 44 Das Institut der Wirtschaftsprüfer in Deutschland e. V. (IDW) mit Sitz in Düsseldorf ist ein eingetragener Verein, der die Arbeit der Wirtschaftsprüfer und Wirtschaftsprüfungsgesellschaften fördert und unterstützt. Das IDW veröffentlicht Prüfungsstandards für Wirtschaftsprüfer sowie nachstehend genannte Rundschreiben seines Fachausschusses für Informationstechnologie 7 : IDW Stellungnahmen zur Rechnungslegung (Quelle: id= html). 12

11 Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie. IDW RS FAIT 1 8 vom Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Electronic Commerce. IDW RS FAIT 2 9 vom Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren. IDW RS FAIT 3 10 vom Anforderungen an die Ordnungsmäßigkeit und Sicherheit IT-gestützter Konsolidierungsprozesse. IDW ERS FAIT 4 11 vom Zusammenfassung Wer in die Welt der IT Standards eindringt, entdeckt ein schier unendliches Universum an dokumentierten Vorgehensweisen, Modellen, Steuerungszielen. Manche fokussieren die gesamte IT, andere wiederum spezialisieren sich auf Teilaspekte wie z. B. die Softwarenentwicklung. Da die technischen Aspekte der IT sich rasch weiter entwickeln, stellen die meisten IT Standards abstrakte Regelwerke auf. Die Mindestanforderungen an das Risikomanagement (MaRisk) werden durch diese abstrakten Regeln ergänzt. Die Kunst der Implementierung besteht in erster Linie darin, die mannigfaltigen Vorgaben der IT Standards im Unternehmen konkret umzusetzen. Da maximale Verfügbarkeit, Vertraulichkeit und Integrität unendlich teuer sind, sind hierbei regelmäßig weise Entscheidungen zu treffen, ob und in welchem Umfang organisatorische oder technische Maßnahmen zu treffen sind. Diese Maßnahmen sind dem Management operationeller Risiken zuzurechnen, denn es geht regelmäßig darum, ob der Aufwand für eine Maßnahme in einem angemessenen Verhältnis zum dadurch vermiedenen Risiko (z. B. eines Anwendungsausfalls, eines Verarbeitungsfehlers) steht III. Neue und veränderte Anforderungen Immer mehr und immer strengere Regeln kennzeichnen seit der Finanzmarktkrise den globalen Trend der Regulierung von Banken. Während vor zehn Jahren unter dem Motto De-Regulierung die Märkte sehr liberal wachsen durften, scheint sich der Trend mittlerweile mehr als umgekehrt zu haben. Der gegenwärtige Zoo an regulatorischen Vorgaben erscheint mir unsystema IDW RS FAIT 1 (Quelle: WPg 2002, S ff., Heft-Nr. 21/2002). 9 IDW RS FAIT 2 (Quelle: WPg 2003, S ff., Heft-Nr. 22/2003). 10 IDW RS FAIT 3 (Quelle: WPg 2006, S ff., Heft-Nr. 22/2006). 11 IDW RS FAIT 4 (Quelle: WPg Supplement 4/2012, S. 115 ff.). 13