OpRisk: IT-Risiken im Fokus der Aufsicht

Identifizierung, Bewertung, Steuerung und Überwachung von IT-Risiken

• Eckpunkte der MaRisk & BAIT aus der Perspektive der Aufsicht
• Ermittlung, Quantifizierung und Beurteilung der IT-Risiken
• Überleitung von IKT-Risiken in die OpRisk-Steuerung
• Anforderungen aus dem neuen OpRisk-Standardansatz
• Überwachung von IT-Risiken im OpRisk-Controlling

Die BAIT und DORA konkretisieren die neuen MaRisk und gehen mit deutlich erhöhten Anforderungen an die Institute und deren IT-Risikosteuerung einher! Zunehmend schwerwiegendere Feststellungen bei Aufsichts-, Revisions- und Abschluss-Prüfungen in den Bereichen IT-Risiko sowie eine starke Zunahme der Cloud- und Cyber-Risiken haben zu weitreichenden Aufsichtsmaßnahmen geführt und sind erklärte Prüfungsschwerpunkte der BaFin.

Das IT-Risikomanagement muss aktuelle IT-Risikotrends wie Cyberrisiken, IT-Aus- lagerungs-Risiken oder IT-Projektrisiken erkennen und in die OpRisk-Steuerung überleiten. Die Identifizierung und Quantifizierung von IT-Risiken (auch qualitativ) wird daher zu einer schwierigen, aber dennoch notwendigen Aufgabe, da auch der neue Standardansatz zur Messung des OpRisk für viele Institute mit einer komplexeren Berechnung der OpRisk-Anforderungen einhergeht.

Somit ergeben sich auch besondere Herausforderungen bei der (IT-)Risikoinventur. Auch IT-Dienstleister-Abhängigkeiten sind bei der Analyse und Bewertung von IT-Risiken mit zu berücksichtigen.