Startseite > Office & Kommunikation > Mit Access Governance auf MaRisk-Novelle vorbereitet

Finanzdienstleistungen

Mit Access Governance auf MaRisk-Novelle vorbereitet

5. Dezember 2016, 14:14 Uhr | Autor: Jürgen Bähr / Redaktion: Diana Künstler

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat mit der MaRisk-Novelle - "Mindestanforderungen an das Risikomanagement" - eine bindende Verwaltungsanweisung herausgegeben. Um den neuen Auflagen entsprechen zu können, gewinnt das Thema Access Governance weiter an Bedeutung.

Noch im Jahr 2016 soll eine weitere Novellierung der MaRisk in Kraft treten. Von der Novelle betroffen ist auch das Überprüfen von Berechtigungen und Kompetenzen. Beispielsweise müssen Banken dadurch in Zukunft vergebene Berechtigungen noch präziser verwalten und dokumentieren als bisher.

Die letzte Novellierung der MaRisk stammt aus dem Jahr 2012. Aus Sicht der BaFin ist es nun an der Zeit, in einer weiteren Novellierungsphase die Themen Risikodaten und Risikoberichterstattung in den Fokus zu stellen – beziehungsweise deren Aggregation. Das bedeutet unter anderem, dass alle Zugangsberechtigungen zu den digitalen Systemen einer Bank regelmäßig überprüft werden müssen. Hier greift das sogenannte Minimalprinzip. Es besagt: Alle Mitarbeiter dürfen ausschließlich die Zugangsberechtigungen besitzen, die sie für ihre tägliche Arbeit in der Bank auch tatsächlich benötigen. Die Banken sind verpflichtet, internen wie externen Revisoren diese Rechtestrukturen offenzulegen. Auch ist es für jede Bank selbst wichtig, jederzeit einsehen zu können, welche Berechtigungen beantragt wurden und ob der entsprechende Antrag bereits bearbeitet wurde. Da dieser Prozess für die Banken kritisch ist, sind papierbasierte Verfahren nicht mehr adäquat. Neben deutlich höheren Bearbeitungszeiten sind die erstellten Reports oftmals nach Fertigstellung bereits wieder überholt. Die MaRisk-Novelle fordert ausdrücklich, der „internen Revisionen […] unverzüglich die erforderlichen Informationen zu erteilen, die notwendigen Unterlagen zur Verfügung zu stellen und Einblick in die Aktivitäten und Prozesse sowie die IT-Systeme des Instituts zu gewähren.“

Aus regulatorischer wie auch ökonomischer Sicht ist die Ablösung papierbasierter zugunsten elektronischer Verfahren aus mehreren Blickwinkeln vorteilhaft. Mittels Daccord ist es Fachabteilungen zum Beispiel möglich, den Status einer Rechtevergabe per Knopfdruck als Report einem Vorgesetzten zu melden. Die Software dokumentiert außerdem lückenlos, wer wann welche Berechtigung erteilt oder gelöscht hat. Das erleichtert den Banken sowohl die tägliche Arbeit als auch die Einhaltung der neuen Vorschriften.