Die Verordnung greift tief in nahezu sämtliche Prozesse eines modernen, größtenteils durchdigitalisierten Finanzdienstleisters ein. Ein Kapitel, das dabei besondere Aufmerksamkeit verdient, ist das Kapitel V: „Management des IKT-Drittparteienrisikos“, so heißt es in der Übersetzung der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin).
Hierbei geht es also nicht allein um die Sicherheit bankinterner IT-Prozesse, sondern vor allem um die Risiken durch digitale „Lieferanten“. Beispiele hierfür sind Cloud-Plattformen, Anbieter von Videokonferenzen oder Software-Hersteller. Durch solche Einfallstore können im Ernstfall existenzgefährdende monetäre Schäden entstehen und empfindliche Compliance- und Reputationsrisiken erwachsen – ohne dass der Finanzdienstleister nennenswerten Einfluss darauf oder gar Kontrolle über die Cyber-Sicherheitsarchitektur der Drittanbieter hätte.
Auslagerung hat Tradition
Die Auslagerung von Dienstleistungen und standardisierten Prozessen ist bei Finanzdienstleistern seit Jahrzehnten gängige Praxis, um die Effizienz zu steigern und Skaleneffekte bei spezialisierten Anbietern zu heben. Mit den Finanzkrisen seit der Jahrtausendwende – vor allem ab 2007 – wuchs das Bewusstsein, dass mit den Auslagerungen auch Risiken einhergingen. So können zum Beispiel Ausfälle einzelner Dienstleister erhebliche Auswirkungen auf den Bankbetrieb haben.
Zudem fanden (und finden) diese Auslagerungsrisiken zunehmend auch regulatorische Beachtung. Erstmals bereits in den Mindestanforderungen an das Risikomanagement (MaRisk) ab 2005 und ihren zahlreichen Novellen seither, später auch im Rahmen der Baseler Kapitalanforderungen. Insofern führt DORA eine Reihe bereits bestehender Regelungen zum Management von Auslagerungsrisiken fort.
Das „Three-Lines-of-Defense“-Modell
Für Finanzdienstleister ist es unumgänglich geworden, Auslagerungsrisiken systematisch in ihre strukturellen Risikomanagement-Prozesse zu integrieren. Als Standard im Risikomanagement hat sich das „Three Lines of Defense“-Modell in vielen Branchen etabliert: Die erste Verteidigungslinie bildet die Basis. In ihr stehen die Identifikation und die Steuerung von Risiken im operativen Geschäftsbetrieb. Die Verantwortung liegt hier bei den jeweiligen Führungskräften und Mitarbeitern, natürlich unter Einhaltung der vorgegebenen Risikostandards und der Regularien. Die zweite Linie stellt das originäre Risikomanagement, zumeist ein dezidiert hierfür zusammengestelltes und unabhängig von anderen operativen Einheiten arbeitendes Team von internen Standardsetzern. Sie nehmen Analysen sowie Bewertungen der Risiken vor und stellen die Umsetzung sowie das Monitoring der festgelegten Standards sicher. Die dritte Linie schließlich ist die unabhängige Überprüfung der Prozesse und Sicherheitsvorkehrungen sowie die Beurteilung der Aktivitäten der ersten und zweiten Verteidigungslinie sowohl durch die oberste Führungsebene des Unternehmens als auch durch externe Expertise, etwa durch Wirtschaftsprüfer.
Weiterentwicklung des Auslagerungsmanagement zum Third Party Risk Management
Bei der systematischen Integration von Auslagerungsrisiken in das Risikomanagement steht die zweite Verteidigungslinie im Fokus. Das ist besonders relevant für Cyberrisiken, nicht erst seit der Einführung der relativ neuen DORA-Verordnung. Dabei ist es eine Herausforderung, zusätzliche operative Schutzmaßnahmen zu implementieren, ohne die Effizienz und Geschwindigkeit der Unternehmensprozesse zu beeinträchtigen. Es handelt sich hierbei nicht nur um eine organisatorische, sondern auch um eine kulturelle Frage. Die „Second Line of Defense“ sollte nicht als Bollwerk wahrgenommen werden, das Entscheidungen verzögert und Prozesse verlangsamt, sondern als integraler Bestandteil eines effektiven Risikomanagements.
Für die erfolgreiche Umsetzung sind effiziente Prozesse zur Beauftragung und Steuerung von Dienstleistern entscheidend. Diese Prozesse müssen sowohl die Anforderungen der First Line als auch der Second Line berücksichtigen. Ein workflowgestütztes Tool mit Vertragsmanagement kann dabei helfen, die Prozesse effizient zu gestalten und zu optimieren. Sämtliche Beziehungen zu externen Dienstleistern und Lieferanten sollten zentral erfasst und Risiken umfassend bewertet werden. Durch die Einbeziehung der verschiedenen Second-Line-Funktionen wird eine ganzheitliche Risikobewertung aus unterschiedlichen Perspektiven gewährleistet. Das Second-Line-Management setzt klare Leitplanken, ermöglicht jedoch auch pragmatische Lösungen.
Third Party Risk Management löst Auslagerungsmanagement ab
Diese Herangehensweise ermöglicht auch eine Weiterentwicklung vom reinen Auslagerungsmanagement zum Third Party Risk Management dar, was die Bedeutung der systematischen Integration von Risiken im Zusammenhang mit der Beauftragung von Dienstleistern weiter unterstreicht.
Dies erfordert zwar eine hohe Kommunikationsfähigkeit des Teams und einen regelmäßigen Schulungsbedarf, doch nach unserer Erfahrung lohnt sich dieser Aufwand. Ist ein solcher Prozess etabliert, sind auch neue Anforderungen, wie z.B. Kapitel V von DORA einfacher zu integrieren und umzusetzen.
---
*) Gloria-Johanna Brasch, Head of Corporate Management and Risk Controlling, Commerz Real AG