Sie sind hier: HomeTelekommunikation

Finanzdienstleistungen: Mit Access Governance auf MaRisk-Novelle vorbereitet

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat mit der MaRisk-Novelle - "Mindestanforderungen an das Risikomanagement" - eine bindende Verwaltungsanweisung herausgegeben. Um den neuen Auflagen entsprechen zu können, gewinnt das Thema Access Governance weiter an Bedeutung.

IT Bildquelle: © Duncan Andison - 123RF

Noch im Jahr 2016 soll eine weitere Novellierung der MaRisk in Kraft treten. Von der Novelle betroffen ist auch das Überprüfen von Berechtigungen und Kompetenzen. Beispielsweise müssen Banken dadurch in Zukunft vergebene Berechtigungen noch präziser verwalten und dokumentieren als bisher.

Die letzte Novellierung der MaRisk stammt aus dem Jahr 2012. Aus Sicht der BaFin ist es nun an der Zeit, in einer weiteren Novellierungsphase die Themen Risikodaten und Risikobericht­erstattung in den Fokus zu stellen – beziehungsweise deren Aggregation. Das bedeutet unter anderem, dass alle Zugangsberechtigungen zu den digitalen Systemen einer Bank regelmäßig überprüft werden müssen. Hier greift das sogenannte Minimalprinzip. Es besagt: Alle Mitarbeiter dürfen ausschließlich die Zugangsberechtigungen besitzen, die sie für ihre tägliche Arbeit in der Bank auch tatsächlich benötigen. Die Banken sind verpflichtet, internen wie externen Revisoren diese Rechtestrukturen offenzulegen. Auch ist es für jede Bank selbst wichtig, jederzeit einsehen zu können, welche Berechtigungen beantragt wurden und ob der entsprechende Antrag bereits bearbeitet wurde. Da dieser Prozess für die Banken kritisch ist, sind papierbasierte Verfahren nicht mehr adäquat. Neben deutlich höheren Bearbeitungszeiten sind die erstellten Reports oftmals nach Fertigstellung bereits wieder überholt. Die MaRisk-Novelle fordert ausdrücklich, der „internen Revisionen […] unverzüglich die erforderlichen Informationen zu erteilen, die notwendigen Unterlagen zur Verfügung zu stellen und Einblick in die Aktivitäten und Prozesse sowie die IT-Systeme des Instituts zu gewähren.“

Aus regulatorischer wie auch ökonomischer Sicht ist die Ablösung papierbasierter zugunsten elektronischer Verfahren aus mehreren Blickwinkeln vorteilhaft. Mittels Daccord ist es Fachabteilungen zum Beispiel möglich, den Status einer Rechtevergabe per Knopfdruck als Report einem Vorgesetzten zu melden. Die Software dokumentiert außerdem lückenlos, wer wann welche Berechtigung erteilt oder gelöscht hat. Das erleichtert den Banken sowohl die tägliche Arbeit als auch die Einhaltung der neuen Vorschriften.