FINNOFLEET – NAVIGATING FINANCIAL HORIZONS
Unsere FinTech-Gruppe wächst weiter: Wir bekommen ein sechstes starkes Mitglied
5 starke Unternehmen – eine starke Gruppe mit einer gemeinsamen Vision
Weil wir leben, wovon andere noch träumen.
Ganz auf Veränderung gepolt
MaRisk: Sicherheit und Schutz für Kreditinstitute
Vertrauen ist gut, Kontrolle ist besser: Um eine noch größere Rechts- und Planungssicherheit in Finanzinstituten zu schaffen, hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) Verwaltungsanweisungen für das Risikomanagement aufgestellt. Seit dem Erscheinungsjahr 2005 wurden die so genannten Mindestanforderungen an das Risikomanagement (MaRisk) immer wieder überarbeitet und angepasst. Die letzte Fassung hat die BaFin im Dezember 2012 veröffentlicht. Die MaRisk sollen Kreditdienstleistungsunternehmen dabei unterstützen, Risiken in Bezug auf die Datensicherheit schneller zu erfassen und mögliche Sicherheitslücken zu schließen. Ein Best Practice Beispiel für die Umsetzung ist der Berliner IT-Dienstleister PRO-DIRECT-FINANCE. Der Anbieter für Kreditprocessingsysteme hat die IT-Verwaltungsanweisungen zur Vermeidung von operationellen Risiken umfassend implementiert. Für die Nutzer des Systems bedeutet das Entlastung und größtmögliche Sicherheit.
Eine aktuelle Umfrage des Unternehmens PPI AG[1] hat jetzt ernüchternde Ergebnisse geliefert: Nur rund 33 Prozent der Banken haben die Anweisungen der BaFin bisher implementiert. In der Umfrage wurden 30 IT-Leiter aus 30 verschiedenen Banken befragt. Weiter heißt es in der Pressemitteilung zur Studie, dass vor allen Dingen die Komplexität des Anforderungskataloges Bankern zu schaffen mache: Insbesondere die Anpassung des IT-Bereichs der Kreditinstitute erfordere hohe Aufwendungen. So sei mehr als die Hälfte der Kosten für die Umsetzung von MaRisk der IT zuzuordnen. Als etablierter IT-Dienstleister im Bereich der Kreditprocessingsysteme hat PRO-DIRECT-FINANCE die MaRisk bereits umfassend implementiert. Für Banken-Kunden, die die IT-Lösungen des Berliner Unternehmens nutzen, bedeutet das einen geringeren Aufwand bei der Umsetzung der BaFin-Anforderungen, denn die Software- und IT-Lösungen entsprechen bereits den neusten Standards und Sicherheitsanforderungen.
MaRisk: Ziele und Aufbau des Anforderungskatalogs
Die MaRisk richten sich grundsätzlich an alle Kredit- und Finanzdienstleistungsinstitute in Deutschland. Sie sollen dabei unterstützen, Sicherheitsrisiken zu erkennen und zu vermeiden. Zudem sind bestehende Sicherheitskonzepte regelmäßig zu überprüfen, um eine ganzheitliche Risikobetrachtung zu schaffen.
Gegenstand der MaRisk: Der IT-Bereich der Finanzdienstleister
Im Bereich „Technisch-organisatorische Ausstattung“ der MaRisk sind die Richtlinien zum Risikomanagement von IT-Systemen beschrieben. Diese schreiben Banken vor, dass IT-Systeme den aktuellen Standards entsprechen müssen und Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der Daten sicherstellen.
Neben der IT-Ausstattung werden Anforderungen an den Regelprozess in Software-Produktionsabläufen gestellt. Diese beschreiben, dass vor jedem ersten Einsatz eines Software- oder Anwendungsproduktes umfassende Überprüfungs- und Freigabeprozeduren notwendig sind, um die Datensicherheit zu gewährleisten.
Anforderungen an das Risikomanagement im Ernstfall
Darüber hinaus werden Anforderungen gestellt, die sich auf Notfallsituationen in Finanz- und Kreditinstituten beziehen. Im Falle eines Notfalls im Unternehmen gilt laut MaRisk: Die höchsten Sicherheitsvorkehrungen müssen grundsätzlich und jederzeit getroffen werden. Ein weiterer wichtiger Punkt: Die Wiederherstellung des Regelbetriebs nach dem Ernstfall. Die BaFin setzt voraus, dass alle notwendigen Maßnahmen getätigt werden, um das Geschäft nach einer angemessenen Zeit wieder fortzuführen.
Umsetzung bei PRO-DIRECT-FINANCE
Sicherheit und Verfügbarkeit – Der Anbieter für Kreditprocessingsysteme behandelt diese beiden Aspekte prioritär. „Wir achten sehr streng darauf, dass Sicherheitsvorkehrungen gewissenhaft eingehalten werden. Mindestens einmal im Jahr findet eine umfangreiche Kontrolle und Überprüfung der Prozesse statt, damit wir hier auf der sicheren Seite stehen“, so die Geschäftsführerin von PRO-DIRECT-FINANCE, Natalie Gude Losada.
Die Firmen-Server befinden sich in einem etablierten Rechenzentrum, welches eine notwendige Umgebung zur Datensicherheit und Verfügbarkeit gewährleistet. Zudem finden regelmäßige Notfallübungen statt. Alle wesentlichen Prozesse auf den Produktions- und Test- bzw. Abnahmesystemen werden ununterbrochen überwacht und die Ergebnisse im Monitoring sichtbar gemacht.
Bei PRO-DIRECT-FINANCE erfolgt eine Software-Einführung oder ein Anpassungsprozess unter Einhaltung strikter Ablaufpläne, die in vier verschiedene Rollout-Phasen gegliedert sind – beginnend mit einer ersten Überprüfungsphase, in der ständige Kontrollen der Änderungen erfolgen. Nach der erfolgreichen internen Abnahme durchlaufen die Software-Änderungen Qualitätssicherungssysteme, in denen automatische und manuelle Tests durch Kundenbetreuer durchgeführt werden. Schließlich erfolgt der Upload in die Testumgebung. Hier werden weitere Kontrollen und Abnahmen durch die Kunden durchgeführt, bis die Software-Änderungen schließlich die letzte Phase erreichen: Die Produktivumgebung.
Üben für den Notfall: Das Notfallkonzept bei PRO-DIRECT-FINANCE
PRO-DIRECT-FINANCE probt den Ernstfall einmal jährlich mit wechselnden Szenarien. „Der Ablauf einer solchen Übung wird genauestens protokolliert. Das Protokoll und abgeleitete Verbesserungsmaßnahmen werden unseren Kunden zur Verfügung gestellt, um die größtmögliche Transparenz zu gewährleisten“, so Gude Losada. Zudem gibt es einen Notfallbeauftragten im Unternehmen, der die Verantwortung für die Einhaltung, Festlegung, Bereitstellung und Aktualisierung des Notfallkonzeptes trägt.
Mit der umfassenden Integration der MaRisk in das Geschäftsmodell gehört PRO-DIRECT-FINANCE zu den Pionieren in Bezug auf die Umsetzung der BaFin-Mindestanforderungen.
[1] Studie „Stauatlas: IT in der Bankenregulierung“ der PPI AG. Pressemitteilung abrufbar unter http://www.ppi.de/ppi-ag/aktuelles-und-publikationen/news/news/detail/News/studie-jede-dritte-bank-ohne-kostenueberblick-fuer-regulierungsprojekte/, zuletzt aufgerufen am 20.04.2015.
