Johannes Hugo, Bereichsleiter, IT-Security, ADWEKO Consulting GmbH
Die Gesamtverantwortung des Managements kann nicht delegiert werden – diese und ähnliche Sätze lernen wir alle im Laufe unseres Berufslebens kennen. Wir nutzen sie insbesondere in Situationen, wenn eine Fokussierung auf den Sinn und die Inhalte von Berichten an das Management in Unternehmen notwendig ist und Entscheidungen benötigt werden. Wenngleich darüber hinaus im Finanzwesen auch die besondere Eignung von insb. Vorständen durch eine Akkreditierung der Aufsichtsbehörden erfolgt, zeigt sich nun durch die Einführung der DORA zu 2025 eine Präzisierung der Gesamtverantwortung des Managements (leitende Angestellte, Vorstand, Aufsichtsrat) in eine „zentrale und aktive Rolle“[1].
Die Aufgaben des Management Body
In erster Näherung ist eine Klarstellung der Informationsflüsse in Unternehmen notwendig, um anschließend die Befähigung des Managements zu spezifizieren und darauf aufbauend die von DORA genannten Kernaufgaben angemessen adressieren zu können.
Die beiden Aufgaben des Management Body sind zusammengefasst:
- Die (risikoadäquate) Steuerungsfähigkeit des Unternehmens im Innenverhältnis
- Die angemessene Interaktion zwischen Vorstand und Aufsichtsrat
Ein befähigter Management Body in einem befähigten Unternehmen
Damit die Anforderungen von DORA angemessen umgesetzt werden können, zeigt Art. 5 Abs. 4 nun klare Erwartungshaltungen zur Befähigung des Management Body auf:
(4) Die Mitglieder des Leitungsorgans des Finanzunternehmens halten ausreichende Kenntnisse und Fähigkeiten aktiv auf dem neuesten Stand — unter anderem indem sie regelmäßig spezielle Schulungen absolvieren — entsprechend den zu managenden IKT-Risiken, um die IKT-Risiken und deren Auswirkungen auf die Geschäftstätigkeit des Finanzunternehmens verstehen und bewerten können.
Bemerkenswert ist hierbei, dass unmissverständlich klargestellt wird, dass von jedem Mitglied des Management Body grundsätzlich erwartet wird, u. a. nicht nur im Berichtswesen zu IKT-Risiken integriert zu sein, sondern die Risiken zu verstehen, zu bewerten und managen zu können in seinen Gesamtauswirkungen auf das Unternehmen.
Hierbei ergeben sich erfahrungsgemäß zwei Problemfelder.
Erstens sind Risikoprozesse in der Finanzbranche mitnichten bereits in höheren Reifegraden vorhanden, die den tatsächlich möglichen Schaden auf operative Prozesse jederzeit sachgerecht darstellen. Im besten Fall behilft man sich mit Näherungen oder Methodiken, die ein Gesamtrisikoprofil erzeugen, welches jederzeit aufgrund von Aggregationsaspekten diskutabel ist, im Zweifel ist das Risikomanagement jedoch lückenhaft in seiner Lieferstrecke und Einheitlichkeit angefangen von der Risikointegration aller betroffenen (IKT-)Bestandteile eines Prozesses bis zur Einwertungsmethodik von einzelnen Risiken.
Zweitens ist die Sachkenntnis im Management Body oftmals nicht in der Breite und Tiefe vorhanden, um IKT-Risiken angemessen managen zu können. Dies beginnt bei Aufsichtsräten, die nicht immer wg. ihrer branchenspezifischen Fachkenntnis berufen wurden und daher fachfremd nur bedingt zur Kenntnis nehmen können wie sich Risikosituationen entwickeln, geschweige denn in einen „challenger modus“ übergehen können, um Auswirkungen zu bewerten wie es bspw. Art. 5 Abs. 2, i, iii fordert.
Überdies sind auch allein in Anbetracht der umfänglichen Regelungen des DORA und Begleittexte (in Summe über 1000 Seiten) die Leitungsorgane im Zugzwang, einen Weg zu finden, um zumindest in angemessener Zeit etwaige Lücken in ihrer Befähigung zu schließen. Die z. T. notwendigen Tiefenschulungen in der Breite, um diesen Reifegrad zu erreichen, erscheinen als akute Herausforderung – eine Vollumsetzung zu Januar 2025 unmöglich.
Worauf den Fokus legen?
Das Leitungsorgan muss gemäß DORA Art. 5 Abs. 2 den IKT-Risikomanagementrahmen definieren, genehmigen, überwachen und verantworten. In seiner Governance-Funktion wird dabei von der Erzeugung strategischer Dokumente über die Festlegung von Toleranzschwellen des Gesamt-IKT-Risikos bis zu gesonderten Meldekanälen für Drittparteidienstleister, ihre Risiken und geplanten Veränderungen vieles spezifiziert, was oftmals auf Basis bestehender Regulierung bereits zumindest inhaltlich vorhanden war. Vorhandenes weiterzuentwickeln und dies mit Plänen zu unterlegen, um sowohl im Management Body befähigt aber auch im Unternehmen eine risikoadäquate Steuerung im Sinne des DORA nicht nur theoretisch einzuführen, sondern wirksam zu etablieren muss also das Credo sein.
Die generelle Erwartungshaltung des DORA zum Fokus des Management Body auf die Risikoperspektive kann schlussendlich auch umgangssprachlich zusammengefasst werden als Wechsel des Leitmotivs der Regulierung von „Sei möglichst sicher“ zu „Kenne deine Risiken – handle angemessen“.
PRAXISTIPPS
- Verlieren Sie das große Ganze nicht aus dem Blick. Risikomanagement ist der neue Fokus der Regulierung – bereiten Sie sich vor, um bspw. als Aufsichtsrat Ihrer Kontrollaufgabe auch inhaltlich gerecht werden zu können.
- Fokus, Fokus, Fokus! Sollten Sie merken, dass Sie nicht alle DORA-Themen im Sinn des Art. 5 angemessen umsetzen können, identifizieren Sie Ihre Abweichungen, erstellen Sie Ihre Mitigierungspläne und erfassen Sie Ihre Risiken. Es ist nicht adäquat auf 2025 „zu warten“ und in Prüfungen anzugeben, dass man als Management Body nicht genug Zeit hatte oder ja noch im „Projektmodus“ arbeitet und deswegen keine der noch bestehenden Lücken als Risiken erfasst hat.
- Suchen Sie sich kompetente Unterstützung. Ob interne oder externe Experten; wichtig ist es, das neue Leitmotiv der Regulierung zum Risikomanagement sauber zu implementieren. Wir zeigen Ihnen gerne, wie Sie das Thema feststellungsfrei umsetzen und dabei Ihren Pflichten gerecht werden.
[1] Art. 45, Beweggründe, Präambel der DORA.
Beitragsnummer: 22798