Prüfungspraxis und Prüfungsergebnisse der Deutschen Bundesbank Informationsveranstaltung: IT-Aufsicht bei Banken 29.Oktober 2013
Agenda 1 Grundlegende Prinzipien der Aufsichtspraxis in der Säule II 2 (IT-) Prüfungspraxis bei der Deutschen Bundesbank 3 Schwerpunkte von IT-Feststellungen der Deutschen Bundesbank 4 Fazit Seite 2
Grundlegende Prinzipien der Aufsichtspraxis in der Säule II Säule 2 Supervisory Review Process (SRP) MaRisk (Mindestanforderungen an das Risikomanagement) Bankinternes Einschätzungsverfahren: Proportional zu Größe, Risikostruktur und Geschäftsvolumen Institutsgetrieben Risiko Identifizierung Messung Steuerung Reporting Risikotragfähigkeit Aufsichtliches Beurteilungsverfahren: proportional zu Risikoprofil, Geschäftstätigkeit und Risikomanagementsystem Aufsichtsgetrieben Seite 3
Grundlegende Prinzipien der Aufsichtspraxis in der Säule II qualitative und prinzipienorientierte Aufsicht (keine Einzelfallregelungen) Methodenfreiheit der Institute (aber keine Methodenwillkür!) Öffnungsklauseln der MaRisk risikoorientierte Prüfungsanordnung und -durchführung doppelte Proportionalität Seite 4 25 a I KWG i. V. m. MaRisk
Grundlegende Prinzipien der Aufsichtspraxis in der Säule II Informationstechnologie (IT) durchdringt heute fast alle Bereiche des privaten oder öffentlichen Lebens. Gerade in Unternehmen und Organisationen haben sich existentielle Abhängigkeiten entwickelt, teilweise haben sie sich schleichend eingestellt und sind damit bisweilen nicht bewusst. Studien belegen regelmäßig, dass bei Ausfall der IT innerhalb weniger Stunden enorme Schäden entstehen und bereits eine Ausfallzeit im Tagesbereich ausreichen kann, um das Überleben von Organisationen zu gefährden. Hochverfügbarkeitskompendium, BSI, Version 1.6, 2013, Band G, Kapitel 1: Einführung, S. 5 Seite 5
Grundlegende Prinzipien der Aufsichtspraxis in der Säule II IT-Unterstützung / IT-Abhängigkeit sämtlicher wesentlicher Prozesse in Kreditinstituten Kredit- und Handelsgeschäftsprozesse Risikocontrollingprozesse und Berichtswesen Interne Revision und somit eine wesentliche Bedeutung der IT-Sicherheit für Risikomanagement IKS/ IKV Risikosituation (IT-Risiken, Reputation) Seite 6
Grundlegende Prinzipien der Aufsichtspraxis in der Säule II Modul AT (Allgemeiner Teil) AT 1 Vorbemerkung AT 2 Anwendungsbereich AT 2.1 Anwenderkreis AT 2.2 Risiken AT 2.3 Geschäfte AT 3 Gesamtverantwortung der Geschäftsleitung AT 4 Allgemeine Anforderungen an das Risikomanagement AT 4.1 Risikotragfähigkeit AT 4.2 Strategien AT 4.3 Internes Kontrollsystem AT 4.3.2 Risikosteuerungs- und controllingprozesse AT 4.4 Besondere Funktionen AT 4.5 Risikomanagement auf Gruppenebene AT 5 Organisationsrichtlinien AT 6 Dokumentation AT 7 Ressourcen AT 7.1 Personal AT 7.2 Technisch-organisatorische Ausstattung AT 7.3 Notfallkonzept AT 8 Anpassungsprozesse AT 9 Outsourcing Modul BT (Besonderer Teil) BT 1 Besondere Anforderungen an das interne Kontrollsystem BTO Anforderungen an die Aufbau- und Ablauforganisation BTO 1 Kreditgeschäft BTO 1.1 Funktionstrennung und Votierung BTO 1.2 Anforderungen an die Prozesse im Kreditgeschäft BTO 1.3 Verfahren zur Früherkennung von Risiken BTO 1.4 Risikoklassifizierungsverfahren BTO 2 Handelsgeschäft BTO 2.1 Funktionstrennung BTO 2.2 Anforderungen an die Prozesse im Handelsgeschäft BT 2 Besondere Anforderungen an die Ausgestaltung der Internen Revision BT 2.1 Aufgaben der Internen Revision BT 2.2 Grundsätze für die Interne Revision BT 2.3 Prüfungsplanung und durchführung BT 2.4 Berichtspflicht BT 2.5 Reaktion auf festgestellte Mängel BTR Anforderungen an die Risikosteuerungs- und - controllingprozesse BTR 1 Adressenausfallrisiken BTR 2 Marktpreisrisiken BTR 2.1 Allgemeine Anforderungen BTR 2.2 Marktpreisrisiken des Handelsbuches BTR 2.3 Marktpreisrisiken des Anlagebuches (einschl. ZÄR) BTR 3 Liquiditätsrisiken BTR 3.1 Allgemeine Anforderungen BTR 3.2 Zusätzliche Anforderungen an kapitalmarktorientierte Institute BTR 4 Operationelle Risiken Seite 7
(IT-)Prüfungspraxis der Deutschen Bundesbank Laufende Überwachung Sachverhaltsaufklärung im Rahmen der laufenden Überwachung durch die Deutsche Bundesbank Laufende Aufsicht bankgeschäftliche Prüfungen Aufsichtsstrategie risikoorientierte Prüfungsplanung risikoorientierte Prüfungsschwerpunktsetzung und -durchführung Seite 8 7 II KWG i. V. m. Aufsichtsrichtlinie
(IT-)Prüfungspraxis der Deutschen Bundesbank Prüfungsaufträge MaRisk Prüfungen mit dediziertem IT Fokus inkl. Prüfung der Rechenzentren(-betreibern) IT-Prüfungshandlungen im Rahmen von MaRisk Prüfungen mit Schwerpunkt z.b. Kredit- oder Handelsprozesse bzw. ICAAP IT-Prüfungshandlungen im Rahmen von Prüfungen von AMA-, MRM-, LRModer IRBA-Modellen oder Modelländerungen Seite 9 44 KWG
(IT-)Prüfungspraxis der Deutschen Bundesbank Qualitätssichernde Maßnahmen Prüfungsüberwachung durch Prüfungsleiter (im Rahmen der Vor-Ort- Prüfung) Kontrollstelle innerhalb der Organisation fachliche-materielle Prüfung formale Prüfung dreistufige Qualitätssicherung Prüfungsleiter Qualitätskontrolle der HV zentrale Qualitätssicherung durch die Zentrale Seite 10
(IT-)Prüfungspraxis der Deutschen Bundesbank Prüfungsfelder Auszug AT 7.2 Tz. 2 MaRisk Die IT-Systeme (Hardware- und Software-Komponenten) und die zugehörigen IT-Prozesse müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen. Für diese Zwecke ist bei der Ausgestaltung der IT-Systeme und der zugehörigen IT- Prozesse grundsätzlich auf gängige Standards abzustellen [ ]. BSI-Standards Integrität IT- Schutzziele Authentizität ISO 27000 Reihe Gängige Standards Vertraulichkeit Verfügbarkeit COBIT ITIL Seite 11 AT 7.2 Tz. 2 MaRisk
(IT-)Prüfungspraxis der Deutschen Bundesbank Prüfungsfelder IT-Strategie, IT-Berichtswesen, Datenqualität IT-Revision IT-Organisation / IT-Auslagerung IT-Notfallmanagement Informationsrisikomanagement, Benutzerberechtigungen Anwendungsentwicklung Systembetrieb Seite 12 insbesondere AT 7.2 und BTR 4 MaRisk
Erkenntnisse aus MaRisk Prüfungen wesentliche Schwerpunkte der IT-Feststellungen IT-Feststellungen schwerpunktmäßig in den Bereichen IT-Strategie (AT 4.2 MaRisk), IT-Berichtswesen, Datenqualität (u.a. AT 4.3.2 Tz. 2 und AT 7.2 Tz. 2 MaRisk) IT-Revision (AT 4.4.3, BT 2) IT-Notfallmanagement (AT 7.3 MaRisk) IT-Organisation, IT-Auslagerung (AT 9 MaRisk) Informationsrisikomanagement (AT 4.3.2 i.v.m. BTR 4 MaRisk), Benutzerberechtigungen (AT 7.2 Tz. 2 i. V. m. AT 4.3.1 Tz. 2 MaRisk) Anwendungsentwicklung (AT 7.2 Tz. 2 bis 4 MaRisk) Systembetrieb Seite 13
Schwerpunkte von IT-Feststellungen der Deutschen Bundesbank IT-Strategie IT-Strategie keine Inkraftsetzung und unangemessene Kommunikation der IT-Strategie keine angemessene Dokumentation, Überprüfung, Fortschreibung der IT- Strategie -> die IT-Strategie ist folglich nicht aktuell keine (dokumentierten) Prüfungshandlungen vorgenommen, um die Konformität ihrer IT-Systeme und Prozesse mit der IT Strategie nachzuweisen Auslagerung von IT-Dienstleistungen bleiben in der IT-Strategie unberücksichtigt Seite 14 AT 4.2 MaRisk
Schwerpunkte von IT-Feststellungen der Deutschen Bundesbank Informationsrisikomanagement Informationsrisikomanagement kein hinreichend ausgestaltetes Informationsrisikomanagementsystem im Rahmen der Strukturanalyse kein Überblick über die genutzten IT- Anwendungslandschaft bzw. IT-Infrastrukturlandschaft -> daher unvollständige Datengrundlage für Ermittlung von IT-Risiken unvollständige, intransparente Schutzbedarfsanalyse Soll-Schutzmaßnahmen: in den Maßnahmenkatalogen werden den Schutzbedarfsklassen verbindliche Maßnahmen zur Erreichung des angestrebten Schutzniveaus unzureichend bzw. mit zu geringem Detaillierungsgrad zugeordnet Ist-Maßnahmen: Information der Daten-Eigentümer über Verstöße gegen (und Überwachung) ihre(r) Vorgaben zum Schutzbedarf ihrer Daten ist nicht sichergestellt; fehlende Verschlüsselung der Anwendungsdaten Seite 15 AT 4.3.2 i. V. m. BTR 4 MaRisk
Schwerpunkte von IT-Feststellungen der Deutschen Bundesbank Benutzerberechtigungsmanagement Benutzerberechtigungsmanagement fehlende, unvollständige oder veraltete Berechtigungskonzepte für wesentliche Anwendungen und Infrastrukturkomponenten Benutzerrechte entgegen dem Minimalprinzip und unzureichende systemseitige Abbildung der Funktionstrennung / Kompetenzordnung; Dokumentation der Berechtigungsvergabe Notwendigkeit und Zulässigkeit beantragter Rechte werden nicht angemessen überprüft; keine angemessene Rezertifizierung von Berechtigungen Logging & Monitoring: keine angemessene Überwachung privilegierter Berechtigungen (insb. Systemadmins) Seite 16 AT 7.2 Tz. 2 i. V. m. AT 4.3.1 Tz. 2 MaRisk
Schwerpunkte von IT-Feststellungen der Deutschen Bundesbank IT-Notfallmanagement IT-Notfallmanagement Notfallkonzept: Notfallvorsorgekonzept deckt zeitkritische Aktivitäten und Prozesse für notfallrelevante Komponenten nur unvollständig ab (fehlendes BCM) Schnittstellen zwischen Teilkonzepten nicht hinreichend definiert Notfalltest: fehlende oder unzureichend (dokumentierte) Notfalltest(-planung); keine Einzeltests der Szenarien keine prozessübergreifende Überprüfung der Funktionsfähigkeit und Qualität der Notfallplanung / des BCM; fehlende Gesamtnotfalltests Turnus der Notfalltests / der Wiederherstellungstests unangemessen keine angemessene Festlegung oder Überprüfung prozessualer Geschäftsfortführungs- und Wiederanlaufpläne fehlende Harmonisierung der Notfallplanung mit dem Auslagerungsnehmer Seite 17 AT 7.3 MaRisk
Schwerpunkte von IT-Feststellungen der Deutschen Bundesbank Anwendungsentwicklung Anwendungsentwicklung unzureichende Vorgaben zu Softwareentwicklungsprozessen unzureichend geregelte Test- und Freigabeverfahren Implementierungsstand entspricht nicht der fachlichen Spezifikation; Implementierungsfehler werden im Abnahmeprozess nicht erkannt fehlende Versionierung, teilweise widersprüchliche und unvollständige Dokumentation unzureichende Ausgestaltung der Testumgebung, Testanforderungen im Rahmen der Anwendungsentwicklung fehlen fehlenden Vorgaben oder mangelhafte Dokumentation zum Code-Review Seite 18 AT 7.2 Tz. 2 bis 4 MaRisk
Schwerpunkte von IT-Feststellungen der Deutschen Bundesbank Datenqualität Datenqualität unzureichende Governance im Hinblick auf die Datenqualität Datengrundlage nicht hinreichend für angemessene Risikosteuerungs- und controllingprozesse sowie regulatorische Kapitalermittlung durch Schnittstellenprobleme sind die in den verschiedenen Systemen vorgehaltenen Daten widersprüchlich bzw. fehlerhaft. implementierte IT-Prozesse zur zeitnahen und vollständigen Einreichung und Auswertung wesentlicher Informationen sind unzureichend; Nachvollziehbarkeit der erfassten Eingangsdaten eingeschränkt ungeregelte, nicht dokumentierte manuelle Eingriffe in wesentliche Systeme Fehlerfassungen bei der Eingabe von Daten Seite 19 u.a. AT 4.3.2 Tz. 2 und AT 7.2 Tz. 2 MaRisk
Schwerpunkte von IT-Feststellungen der Deutschen Bundesbank IT-Auslagerungsmanagement IT-Auslagerungsmanagement Risikoanalyse: keine hinreichend konkreten Regelungen, die nachvollziehbar auf die Wesentlichkeit eines Auslagerungssachverhalts schließen lassen unzureichende Einbindung der IT-Auslagerungen in das IKS: Berichtswesen zum Auslagerungsmanagement ist nicht hinreichend (Qualität, Quantität, Turnus, Transparenz) unzureichende Überwachung des IT-Dienstleisters Auslagerungsverträge: fehlende Regelungen zur Abstimmung und Sicherstellung der Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit von Daten Inkonsistenz zwischen SLAs mit externen Dienstleistern und internen Anforderungen aus dem Informationsrisikomanagement inhomogen ausgestaltete Auslagerungsvereinbarungen Seite 20 AT 9 MaRisk
Fazit Enorme Abhängigkeit von IT-Systemen in der Kreditwirtschaft IT-Systeme und dazugehörige IT-Prozesse ein wesentlicher Risikofaktor in der Kreditwirtschaft IT-Risiken als Teilgröße der operationellen Risiken sind angemessen zu steuern IT-Sicherheit ein Fokusthema in der Bankenaufsicht IT-Systeme und IT-Prozesse sind institutsspezifisch unter Berücksichtigung der gängigen Marktstandards auszugestalten Seite 21
Kontaktdaten Herzlichen Dank für Ihre Aufmerksamkeit! Kai Kreische Bundesbankdirektor Deutsche Bundesbank Zentrale Zentralbereich Banken- und Finanzaufsicht / Leiter der Hauptgruppe B 32 MaRisk Bankgeschäftliche Prüfungen und Implementierung von internationalen Standards Wilhelm-Epstein-Straße 14 60431 Frankfurt am Main Telefon: +49 69 9566-3310 Email: kai.kreische@bundesbank.de Seite 22