DORA zwingt Finanzunternehmen zum gemeinsamen Blick auf Risiken

DORA: Risiken im Blick

Gedanken zu einer Governance nach DORA

Keyfacts:

  • Der Digital Operational Resilience Act (DORA) zwingt Finanzinstitute, ihren Ansatz für das operationelle Risikomanagement zu überprüfen.
  • Es gilt, bereits vorhandene Organisationsbereiche sinnvoll miteinander zu verbinden sowie Wissen und Kompetenzen zu bündeln.
  • Nur so wird ein einheitlicher und übergreifender Blick auf die Risiken möglich.

    Seit einigen Wochen ist der Digital Operational Resilience Act (DORA) nun in Kraft. Kernstück der Verordnung ist das integrierte Risikomanagement von Informations- und Kommunikationstechnologien (IKT) – und damit das operationelle Risiko (OpRisk) im Hinblick auf Cyber- und IT-Risiken.

    DORA fordert von Unternehmen also ein, konsequent von diesen Risiken her zu denken und das in allen Prozessen zu verankern. Dreh- und Angelpunkt ist dafür eine einheitliche und übergreifende Resilienzkultur, an der sich alle Organisationsbereiche beteiligen.

    Um die Resilienzkultur im Unternehmen mit Leben zu füllen und ein gemeinsames Bild auf das Gesamtrisiko zu fördern, müssen bestehende Silos und Silodenken in den zentralen Bereichen (Informationssicherheit, Business Continuity Management, Auslagerungsmanagement) aufgebrochen werden. Um das zu erreichen, ist eine auf Resilienz ausgerichtete Governance zentral.

    Risikomanagement stärken: Eine zentrale Organisationseinheit für Resilienz

    Denn der Blick pro Fachbereich reicht nicht aus. Die Bereiche müssen übergreifend potenzielle Risiken im Blick haben und die Schnittstellen im Risikomanagementprozess zueinander bedienen. Beispielsweise ist das integrierte Testing-Framework aus dem etablierten Risikomanagement und dessen zugehöriger Bedrohungsanalyse abzuleiten und die entsprechenden Erkenntnisse sind dorthin zurückzuleiten (Risikomanagement-Zyklus), um das Risikomanagement, wo notwendig, anzupassen und zu ergänzen. Einfach gesprochen: Es gilt – wie beim Hausbau – Prozesse aufeinander aufzubauen und zu verbinden. Einzelne Bereiche können so gegenseitig von Erfahrungen mit Risiken lernen.

    Die notwendige Abstimmung und Integration einzelner Organisationsbereiche innerhalb des Risikomanagement-Zyklus sind vereinfacht in der folgenden Grafik dargestellt:

    Quelle: KPMG in Deutschland, 2023

    Eine einheitliche Perspektive sicherstellen und das Risikomanagement stärken

    Zur Governance der zentralen Organisationsbereiche kann sich der Aufbau einer zentralen Organisationseinheit für Resilienz eignen – sie stellt das Grundgerüst für Resilienz dar und stärkt das operationelle Risikomanagement im Bereich IT und Cyber. Eine solche Einheit integriert die Organisationsbereiche Informationssicherheit, Business Continuity Management sowie Auslagerungsmanagement unter dem Dach einer IKT-Risikomanagementfunktion und schafft die Voraussetzung für einen ganzheitlichen Blick auf Risiken mit Bezug auf Resilienz.

    Die Kernaufgaben der Einheit bestehen einerseits darin, ein gemeinsames Verständnis für Risiken zu schaffen. Daher sollten einheitliche Metriken, Parameter und ein gemeinsames Risikoregister eingeführt werden. Andererseits fördert sie einen holistischen Blick auf die Resilienz-Risiken, etwa durch einen Blick auf Konzentrationsrisiken bei IT-Providern oder das Scannen und Konsolidieren der Bedrohungslage mit IKT-Bezug.

    Die Organisationseinheit bildet die Grundlage für die zentrale Koordination von Maßnahmen zwischen den beteiligten Funktionen und steht im zentralen Austausch mit der übergreifenden finanziellen Risikomanagementfunktion, insbesondere in Bezug auf das Risikokapital für Resilienz-Risiken. Außerdem ist die Resilienz-Funktion zentraler Ansprechpartner in Bezug auf die aktuelle Resilienz- und Bedrohungssituation für alle Fachbereiche – etwa die IT – sowie das Top-Management.

    Neben dem organisatorischen Aufbau einer solchen Organisationseinheit zur zentralen Governance raten wir dazu, ihre Arbeit mit einem Target Operating Model (TOM) zum Management von Resilienz-Risiken zu unterlegen. Das TOM hat die Aufgabe die Resilienzorganisation auf sechs zentralen Ebenen zu beschreiben (Prozess, People, Service Delivery, Technology, KPIs & Data, Governance) und in Verbindung zu setzen.

    Fazit: So können Unternehmen DORA in ihre Organisation integrieren

    1. Unternehmen sollten sicherzustellen, dass ein grundsätzlich angemessener Risikomanagementrahmen vorhanden ist, der die Aufgaben und Prinzipien eines IT-Risikomanagements erfüllt. Hierbei hilft es, sich an anerkannten internationalen Standards (z.B. ISO 31000) zu orientieren und die Organisation gemessen an diesen zu bewerten.
    2. Es ist zu überprüfen, ob die einzelnen Organisationsbereiche die Reife und Prozesse haben, die DORA-Anforderungen für sich umsetzen zu können. Hierfür bietet es sich an, Gap-Assessments durchzuführen und sich einen Überblick über die größten Handlungsbedarfe zu verschaffen.
    3. Mit der Definition einer Strategie zur operativen Resilienz wird ein Zielbild entwickelt und die zu involvierenden Bereiche werden an einen Tisch gebracht.
    4. Es sollte diskutiert werden, wie die Anforderungen innerhalb der Organisation umgesetzt werden können – das bringt gegebenenfalls auch (kulturelle) Change-Prozesse mit sich. Ziel sollte es sein, bestehende Silos aufzubrechen, um ein gemeinsames Bild auf das Gesamtrisiko zu fördern. Dafür sollten sich Verantwortliche Gedanken über bestehende Tools machen und klar auf Resilienz ausgerichtete Prozesse und Rollen schaffen. Das Target Operating Model der Governance ist klar auf Resilienz auszurichten.