DORA zwingt Finanzunternehmen zum gemeinsamen Blick auf Risiken

DORA: Risiken im Blick

Gedanken zu einer Governance nach DORA

veröffentlicht am 03.05.2023 | Lesezeit: ca. 3 Minuten

Keyfacts:

  • Der Digital Operational Resilience Act (DORA) zwingt Finanzinstitute, ihren Ansatz für das operationelle Risikomanagement zu überprüfen.
  • Es gilt, bereits vorhandene Organisationsbereiche sinnvoll miteinander zu verbinden sowie Wissen und Kompetenzen zu bündeln.
  • Nur so wird ein einheitlicher und übergreifender Blick auf die Risiken möglich.

    Seit einigen Wochen ist der Digital Operational Resilience Act (DORA) nun in Kraft. Kernstück der Verordnung ist das integrierte Risikomanagement von Informations- und Kommunikationstechnologien (IKT) – und damit das operationelle Risiko (OpRisk) im Hinblick auf Cyber- und IT-Risiken.

    DORA fordert von Unternehmen also ein, konsequent von diesen Risiken her zu denken und das in allen Prozessen zu verankern. Dreh- und Angelpunkt ist dafür eine einheitliche und übergreifende Resilienzkultur, an der sich alle Organisationsbereiche beteiligen.

    Um die Resilienzkultur im Unternehmen mit Leben zu füllen und ein gemeinsames Bild auf das Gesamtrisiko zu fördern, müssen bestehende Silos und Silodenken in den zentralen Bereichen (Informationssicherheit, Business Continuity Management, Auslagerungsmanagement) aufgebrochen werden. Um das zu erreichen, ist eine auf Resilienz ausgerichtete Governance zentral.

    Risikomanagement stärken: Eine zentrale Organisationseinheit für Resilienz

    Denn der Blick pro Fachbereich reicht nicht aus. Die Bereiche müssen übergreifend potenzielle Risiken im Blick haben und die Schnittstellen im Risikomanagementprozess zueinander bedienen. Beispielsweise ist das integrierte Testing-Framework aus dem etablierten Risikomanagement und dessen zugehöriger Bedrohungsanalyse abzuleiten und die entsprechenden Erkenntnisse sind dorthin zurückzuleiten (Risikomanagement-Zyklus), um das Risikomanagement, wo notwendig, anzupassen und zu ergänzen. Einfach gesprochen: Es gilt – wie beim Hausbau – Prozesse aufeinander aufzubauen und zu verbinden. Einzelne Bereiche können so gegenseitig von Erfahrungen mit Risiken lernen.

    Die notwendige Abstimmung und Integration einzelner Organisationsbereiche innerhalb des Risikomanagement-Zyklus sind vereinfacht in der folgenden Grafik dargestellt:

    Quelle: KPMG in Deutschland, 2023

    Eine einheitliche Perspektive sicherstellen und das Risikomanagement stärken

    Zur Governance der zentralen Organisationsbereiche kann sich der Aufbau einer zentralen Organisationseinheit für Resilienz eignen – sie stellt das Grundgerüst für Resilienz dar und stärkt das operationelle Risikomanagement im Bereich IT und Cyber. Eine solche Einheit integriert die Organisationsbereiche Informationssicherheit, Business Continuity Management sowie Auslagerungsmanagement unter dem Dach einer IKT-Risikomanagementfunktion und schafft die Voraussetzung für einen ganzheitlichen Blick auf Risiken mit Bezug auf Resilienz.

    Die Kernaufgaben der Einheit bestehen einerseits darin, ein gemeinsames Verständnis für Risiken zu schaffen. Daher sollten einheitliche Metriken, Parameter und ein gemeinsames Risikoregister eingeführt werden. Andererseits fördert sie einen holistischen Blick auf die Resilienz-Risiken, etwa durch einen Blick auf Konzentrationsrisiken bei IT-Providern oder das Scannen und Konsolidieren der Bedrohungslage mit IKT-Bezug.

    Die Organisationseinheit bildet die Grundlage für die zentrale Koordination von Maßnahmen zwischen den beteiligten Funktionen und steht im zentralen Austausch mit der übergreifenden finanziellen Risikomanagementfunktion, insbesondere in Bezug auf das Risikokapital für Resilienz-Risiken. Außerdem ist die Resilienz-Funktion zentraler Ansprechpartner in Bezug auf die aktuelle Resilienz- und Bedrohungssituation für alle Fachbereiche – etwa die IT – sowie das Top-Management.

    Neben dem organisatorischen Aufbau einer solchen Organisationseinheit zur zentralen Governance raten wir dazu, ihre Arbeit mit einem Target Operating Model (TOM) zum Management von Resilienz-Risiken zu unterlegen. Das TOM hat die Aufgabe die Resilienzorganisation auf sechs zentralen Ebenen zu beschreiben (Prozess, People, Service Delivery, Technology, KPIs & Data, Governance) und in Verbindung zu setzen.

    Fazit: So können Unternehmen DORA in ihre Organisation integrieren

    1. Unternehmen sollten sicherzustellen, dass ein grundsätzlich angemessener Risikomanagementrahmen vorhanden ist, der die Aufgaben und Prinzipien eines IT-Risikomanagements erfüllt. Hierbei hilft es, sich an anerkannten internationalen Standards (z.B. ISO 31000) zu orientieren und die Organisation gemessen an diesen zu bewerten.
    2. Es ist zu überprüfen, ob die einzelnen Organisationsbereiche die Reife und Prozesse haben, die DORA-Anforderungen für sich umsetzen zu können. Hierfür bietet es sich an, Gap-Assessments durchzuführen und sich einen Überblick über die größten Handlungsbedarfe zu verschaffen.
    3. Mit der Definition einer Strategie zur operativen Resilienz wird ein Zielbild entwickelt und die zu involvierenden Bereiche werden an einen Tisch gebracht.
    4. Es sollte diskutiert werden, wie die Anforderungen innerhalb der Organisation umgesetzt werden können – das bringt gegebenenfalls auch (kulturelle) Change-Prozesse mit sich. Ziel sollte es sein, bestehende Silos aufzubrechen, um ein gemeinsames Bild auf das Gesamtrisiko zu fördern. Dafür sollten sich Verantwortliche Gedanken über bestehende Tools machen und klar auf Resilienz ausgerichtete Prozesse und Rollen schaffen. Das Target Operating Model der Governance ist klar auf Resilienz auszurichten.

    Das könnte Sie auch interessieren

    Das Bild zeigt Gewerbeimmobilien in Frankfurt
    Finance und Risk

    Kreditrisiken bei Gewerbeimmobilien: EZB fordert Institute zum Handeln auf

    Kreditrisiken bei Gewerbeimmobilien: EZB fordert Institute zum Handeln auf

    19.11.2024 | ca. 5 Minuten Lesezeit

    Die Aufsicht fordert, dass Kreditinstitute Immobilienbewertungen engmaschiger überwachen.

    Daniel Demleitner
    Daniel Demleitner
    Karsten Neiteler
    Karsten Neiteler
    Pascal Stolz
    Pascal Stolz
    Wald bedroht von Klimarisiken und Waldbrand. Kreditrisikomodelle
    Finance und Risk

    KPMG-Umfrage: Klima- und Umweltrisiken in Kreditrisikomodellen

    Umfrage: Klimarisiken im Kreditrisiko

    14.11.2024 | ca. 2 Minuten Lesezeit

    Neue Befragung zeigt, wo Banken bei der Anpassung von Kreditrisikomodellen stehen.

    Frank Glormann
    Frank Glormann
    Dr. Jürgen Ringschmidt
    Dr. Jürgen Ringschmidt
    Dr. Lora Todorova
    Dr. Lora Todorova
    Das Bild zeigt Wolkenkratzer, die in den Himmel ragen
    Regulatorik und Compliance

    Neu auf dem Blog: Aktuelle Regulatory Updates für die Finanzbranche

    Neu auf dem Blog: Aktuelle Regulatory Updates für die Finanzbranche

    05.11.2024 | ca. 1 Minute Lesezeit

    Die wichtigsten Schnellmeldungen aus Aufsicht, Gesetzgebung und von Standardsetzern

    Thilo Kasprowicz
    Thilo Kasprowicz
    Suche
    Schliessen
    © 2024 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.