Warenkorb

Es befinden sich keine Positionen in Ihrem Warenkorb

Projektbericht

Governance, Risk, Compliance

System Obsolescence Risiken

Ausgangssituation

Operationelle Risiken und deren Bewertung spielen seit einigen Jahren eine immer wichtiger werdende Rolle bei Kreditinstituten. Gesetzliche Vorschriften und Regularien (z.B. Basel II und III, MaRisk) sind ein wichtiger Grund dafür, dass Kredit- und Finanzdienstleistungsinstitute verpflichtet sind, sich neben den traditionell im Mittelpunkt stehenden Markt- und Kreditrisiken auch mit operationellen Risiken zu beschäftigen. Eine der Vorschriften ist die verpflichtende Bewertung diverser operationeller Risiken. Diese erstrecken sich auf die verschiedensten Bereiche mit unterschiedlichen Ausprägungen.
Einer der Bereiche mit umfassenden Risiken ist die Informationstechnik und speziell in diesem Projektrahmen liegt der Fokus auf den „System Obsolescence Risiken“ (SOR). SOR’s sind die Risiken, die durch eine Veralterung der IT-Systeme auftreten und somit der Unternehmung schaden können, bspw. durch die Einstellung des Supports (Betriebssystem) etc.. Nach einem Auditfinding einer ausländischen Aufsichtsbehörde im Fachbereich „Global Technologie“ einer Großbank, wurde der Kunde darauf hingewiesen diese speziellen Risiken ausreichend zu dokumentieren und zu bewerten, was bis zu diesem Zeitpunkt mit einer vorhandenen Bewertungsmethode nicht hinreichend vollzogen wurde und somit der Behörde nicht genügte.

Zielsetzung

Ziel war es, mit der Unterstützung von best-practice innovations, eine geeignete Bewertungsmethode auf Basis der Vorhandenen zu entwickeln, die den Anforderungen der eingesetzten Auditoren genügte. Zunächst sollte die existierende Methode hinsichtlich der fachlichen und organisatorischen Sicht kritisch bewertet und deren Effektivität in der Anwendung überprüft werden. Nach der Einschätzung der vorhandenen Methode, sollte diese dann erweitert, verbessert und globalisiert werden.
Der Kundennutzen der sich daraus ergab, war das erfolgreiche Schließen des Auditfindings und die Aufdeckung weiterer Themen und Potentiale zur Risikominimierung bzw. deren Bewertung. Beispielsweise die Überprüfung der Konsistenz weitere Risikobewertungsmethoden oder die Datenqualität zur Risikobewertung innerhalb der Bank. Des Weiteren ergaben sich daraus große Lerneffekte und die Abwendung von Strafen und Restriktionen.

Lösungsansatz

Nach Abschluss der Analyse und Bewertung der existierenden Risikobewertungsmethode im Bereich SOR, wurde mit der Entwicklung auf Basis der vorhandenen Methode begonnen. Dabei musste auf 3 verschiedene Arten von Risikobereichen mit unterschiedlichen Key Risk Indikatoren eingegangen werden. Dazu zählen Hardware-, Anwendungs- und Betriebssystemrisiken unter dem Gesichtspunkt der System Obsolescence. Durch die Neugestaltung der Bewertungsmethode und der ausgeprägten Differenzierung der unterschiedlichen Key Risk Indikatoren konnte die Bank im Nachhinein die Wahrscheinlichkeiten des Risikoeintritts und die Höhen der zu erwartenden Schäden (finanziell und regulatorisch) genau berechnen und weiterverarbeiten.

Bei der Entwicklung einer neuen Bewertungsmethode der SOR unterlagen wir und der Kunde diversen kritischen Erfolgsfaktoren. Zu diesen zählten unter anderem, die mangelnde Datenqualität, die Erreichbarkeit relevanter Subject-Matter Experten und eine Ressourcenknappheit.

Dr. Stefan Zickenheiner

Dr. Stefan Zickenheiner
Managing Director b-pi
stefan.zickenheiner@b-pi.com
+49 221 964 34 63-2