MaRisk – Mindestanforderungen an das Risikomanagement

MaRisk – Mindestanforderungen an das Risikomanagement

Erfreulicherweise haben wir einige Banken als Kunden unseres Produktes DSR – Dynamic Security Recording und insofern uns bereits mehrfach mit dem Thema MaRisk für den Schwerpunktbereich „SAP-Systeme und -umgebungen“ auseinandergesetzt.

Die aktuelle Fassung (MaRisk Novelle 2012 – mit Anschreiben des BaFin vom 14.12.2012 an die Verbände) nehme ich darum zum Anlass kurz zu umreißen, wie wir – auf Basis unseres Produktes DSR – hier eine sehr gute Hilfe und Unterstützung für die Institute darstellen.

Wie schon die Vorbemerkung zeigt, stellt MaRisk auch wesentlich auf das IKS (interne Kontrollsystem) ab. Wie wir aber auch alle wissen sind gerade die Prozesse üblicherweise stark gewachsen, um nicht zu sagen teilweise „gewuchert“. Das betrifft – in vielen uns bekannten Fällen – insbesondere die SAP Berechtigungen und deren Zuordnungs- und Vergabeprozess (sowohl aufbau-/ablauforganisatorisch, als auch rein technisch). So kennen wir alle das Beispiel, dass für einen neuen Mitarbeiter, der bereits im nächsten Monat neu ins Unternehmen kommt, Berechtigungen häufig durch komplette „Userkopien“ vergeben werden, so frei nach dem Motto „… der soll halt genauso arbeiten, wie der Hr. Meyer, in der gleichen Gruppe…“. Das wird dann so auch aus dem Fachbereich per Mail an die SAP-Basis/Administratoren für User und Berechtigungen kurz per internem Mail geschickt, und gut ist. Und genau da fängt das Übel an…

Dementsprechend setzt an dieser Stelle auch MaRisk an, wenn unter dem allgemeinen Teil (AT) ab Ziffer AT 7.2 die „Technisch- organisatorische Ausstattung“ angesprochen wird. Die hier gestellten Anforderungen decken sich mit denen des IKS und fordern im Hinblick auf die SAP Nutzung und Berechtigung im wesentlichen:

  • eine aufgabenorientierte/funktionsbezogene Berechtigung (so viel wie nötig, so wenig wie möglich)
  • einen Überblick über die mit den jeweiligen Funktionen verbundenen Risiken (Risiko- und Kontrollmatrix, sowie idealerweise fertige Prüfsets mit kritischen, bankrelevanten SAP-Prozessen)
  • einen Nachweis/Dokumentation über funktionsübergreifende Berechtigungen (SoD – Segregation of Duties)
  • eine „Vorabprüfung“ vor der eigentlichen Zuordnung einer Berechtigung (ex ante Prüfung/Simulation)
  • ein laufendes Reporting

…und dies alles so einfach und verständlich wie möglich, damit auch die entsprechenden „Fachbereiche“, sowie die interne Revision und Compliance-Verantwortliche mit eingebunden werden können.

Alle vorgenannten Punkte werden vom DSR abgedeckt. Wir erstellen beispielsweise mit entsprechenden DSR-Auswertungen innerhalb kurzer Zeit die notwendigen Übersichten zum „IST-Zustand“ (welcher User hat welche transkationonalen Berechtigungen und aus welchen Rollen stammen diese). Zusammen mit den jeweiligen Fachbereichen wird der Ist-Zustand den IKS relevanten Prüfungen unterzogen und überarbeitet. Parallel wird, basierend auf bereits bestehenden Regel-Prüfsets, verprobt, wo kritische Funktionstrennungskonflikte bzw. zu weitreichende Berechtigungen vorliegen (User- als auch rollenbezogen).

Aus den Prüfergebnissen heraus lassen sich Genehmigungslisten generieren und verteilen, sowie deren Umsetzung/Durchführung auf userebene im DSR dokumentieren und in ein kontinuierliches Reporting einbinden.

Abschließend wird ein optimierter Vergabeprozess besprochen so das bei Neuanlagen, als auch Änderungen in der Aufbau-/Ablauforganisation eine „Vorabprüfung“ durchführbar ist, um im Vorwege festzustellen ob die neue/geänderte Berechtigung für diesen/diese SAP-User konfliktfrei ist. Auf Wunsch kann auch ein elektronischer Vergabeprozess implementiert werden.

Da durch den Einsatz unseres Produktes DSR – Dynamic Security Recording bereits sehr viel an Analysemöglichkeiten, standardisierten Prüf- und Regelsets, sowie Reports bereits eingebracht wird, kann eine Umsetzung der wesentlichen Punkte aus MaRisk für den Teilbereich SAP in wenigen Tagen realisiert werden.

Ähnliche Beiträge: