Konsultationspapier der EBA von Leitlinien zur Bewertung von IKT-Risiken

Am 6. Oktober 2016 hat die Europäische Bankenaufsichtsbehörde (EBA) ein Konsultationspapier von Leitlinien zur Bewertung von IKT-Risiken im aufsichtlichen Überprüfungs- und Evaluierungsprozess (SREP) veröffentlicht. Diese Leitlinien sollen die Umsetzung der EBA Guidelines on common procedures and methodologies for the supervisory review and evaluation process (“SREP-Leitlinien”, EBA/GL/2014/13), insbesondere der Artikel 258 bis 261, forcieren. Sie sind direkt an die zuständigen Aufsichtsbehörden adressiert. Wie im Falle von Leitlinien in Zusammenhang mit dem Themenbereich SREP üblich, lassen sich aus den aufsichtlichen Prüfungsmodalitäten jedoch indirekt konkrete Anforderungen an die Kreditinstitute ableiten.

Informations- und Kommunikationstechnologien (IKT) sind aus operativer und strategischer Sicht eine wertvolle Ressource des modernen Bankensystems. Durch ihre Nutzung sind Institute jedoch auch mit neuen Herausforderungen konfrontiert, darunter:

  • dem Anstieg von (neuen) Cyberrisiken zusammen mit dem erhöhten Risiko von Cyberkriminalität und Cyberterrorismus sowie
  • dem Trend zu Auslagerung von IKT-Leistungen, die oft als Gesamtlösung ausgelagert werden, was zu einer erhöhten Abhängigkeit und zu operationellen Konzentrationsrisiken führen kann.

Zur Sicherstellung eines angemessenen Risikomanagement haben die zuständigen Aufsichtsbehörden die daraus entstehenden Risiken zu identifizieren und zu quantifizieren. Die EBA schlägt dazu eine Vorgehensweise vor, die sich in drei Teilbereiche gliedert:

  1. Allgemeine Anforderungen
  2. Einschätzung von Governance und Strategie des Instituts in Bezug auf IKT
  3. Einschätzung des IKT-Risikopotenzials und der Kontrollen

1. Allgemeine Anforderungen

Die zuständigen Aufsichtsbehörden haben diese Leitlinien unter Beachtung des Prinzips der Proportionalität anzuwenden. Hinsichtlich Prüfungsintensität und -häufigkeit ist die Kategorisierung von Instituten gem. SREP-Leitlinien zu beachten.

Bei der Einschätzung von IKT-Risiken können die zuständigen Aufsichtsbehörden zwei Ansätze verfolgen: IKT-Risiken können prinzipiell als Teil des operationellen Risikos behandelt werden. In diesem Fall ist die Bewertungstabelle der SREP-Leitlinien (Tabelle 6) zu nutzen. Wenn die zuständige Aufsichtsbehörde hingegen zum Schluss kommt, dass IKT-Risiken insgesamt ein wesentliches Risiko darstellen und daher als eigene Unterkategorie des operationellen Risikos gem. Art. 116 der SREP-Leitlinien einzuschätzen sind, so ist die Bewertungstabelle (Tabelle 1) dieser Leitlinien zur Bewertung zu nutzen. Zur Einschätzung der Wesentlichkeit von IKT-Risiken kann sich die zuständige Aufsichtsbehörde auf die Angaben in Artikel 120 der SREP-Leitlinien stützen.

2. Einschätzung von Governance und Strategie des Instituts in Bezug auf IKT

Es ist sicherzustellen, dass die Geschäftsleitung das Management von IKT-Systemen und damit verbundene Risiken angemessen berücksichtigt. Ebenso sind die internen Kontrollen der Verpflichteten an die Anforderungen von IKT-Systemen anzupassen. Dabei haben die Aufsichtsbehörden die Richtlinien zur Internen Governance (GL 44) und internationale Best-Practice Ansätze, soweit diese anwendbar sind, zu beachten.

3. Einschätzung des IKT-Risikopotenzials und der Kontrollen

Die zuständigen Aufsichtsbehörden haben die IKT-Risiken des Instituts zu identifizieren und zu quantifizieren. Dazu haben die zuständigen Aufsichtsbehörden die folgende Vorgehensweise zu beachten:

  • Einschätzung des Risikoprofils des Instituts;
  • Prüfung der kritischen IKT-Systeme und -Dienstleistungen;
  • Identifizierung wesentlicher Risiken aufgrund von kritischen IKT-Systemen und -dienstleistungen (IKT-Risiken in den Bereichen Verfügbarkeit & Funktionenkontinuität, Sicherheit, Datenintegrität und Auslagerung);
  • Prüfung der vorhandenen Kontrollen, um IKT-Risiken zu mindern.

Im Anhang zum Konsultationspapier befindet sich eine nicht erschöpfende, systematische Auflistung von IKT-Risiken, die in insgesamt fünf IKT-Risikokategorien eingeteilt ist.

Die Konsultationsfrist läuft von 6. Oktober 2016 bis 6. Jänner 2017.

Quelle: Leitlinien zu IKT-Risiken (EBA/CP/2016/14), EBA SREP-Leitlinien (EBA/GL/2014/13)

print