Donnerstag, 14. November 2024

DORA fordert das Management

Wie sich das Management spätestens ab 2025 weiterentwickeln muss

Johannes Hugo, Bereichsleiter, IT-Security, ADWEKO Consulting GmbH

Die Gesamtverantwortung des Managements kann nicht delegiert werden – diese und ähnliche Sätze lernen wir alle im Laufe unseres Berufslebens kennen. Wir nutzen sie insbesondere in Situationen, wenn eine Fokussierung auf den Sinn und die Inhalte von Berichten an das Management in Unternehmen notwendig ist und Entscheidungen benötigt werden. Wenngleich darüber hinaus im Finanzwesen auch die besondere Eignung von insb. Vorständen durch eine Akkreditierung der Aufsichtsbehörden erfolgt, zeigt sich nun durch die Einführung der DORA zu 2025 eine Präzisierung der Gesamtverantwortung des Managements (leitende Angestellte, Vorstand, Aufsichtsrat) in eine „zentrale und aktive Rolle“[1].

Die Aufgaben des Management Body

In erster Näherung ist eine Klarstellung der Informationsflüsse in Unternehmen notwendig, um anschließend die Befähigung des Managements zu spezifizieren und darauf aufbauend die von DORA genannten Kernaufgaben angemessen adressieren zu können.

Die beiden Aufgaben des Management Body sind zusammengefasst:

  • Die (risikoadäquate) Steuerungsfähigkeit des Unternehmens im Innenverhältnis
  • Die angemessene Interaktion zwischen Vorstand und Aufsichtsrat

Ein befähigter Management Body in einem befähigten Unternehmen

Damit die Anforderungen von DORA angemessen umgesetzt werden können, zeigt Art. 5 Abs. 4 nun klare Erwartungshaltungen zur Befähigung des Management Body auf:

(4) Die Mitglieder des Leitungsorgans des Finanzunternehmens halten ausreichende Kenntnisse und Fähigkeiten aktiv auf dem neuesten Stand — unter anderem indem sie regelmäßig spezielle Schulungen absolvieren — entsprechend den zu managenden IKT-Risiken, um die IKT-Risiken und deren Auswirkungen auf die Geschäftstätigkeit des Finanzunternehmens verstehen und bewerten können.

Bemerkenswert ist hierbei, dass unmissverständlich klargestellt wird, dass von jedem Mitglied des Management Body grundsätzlich erwartet wird, u. a. nicht nur im Berichtswesen zu IKT-Risiken integriert zu sein, sondern die Risiken zu verstehen, zu bewerten und managen zu können in seinen Gesamtauswirkungen auf das Unternehmen.

Hierbei ergeben sich erfahrungsgemäß zwei Problemfelder.

Erstens sind Risikoprozesse in der Finanzbranche mitnichten bereits in höheren Reifegraden vorhanden, die den tatsächlich möglichen Schaden auf operative Prozesse jederzeit sachgerecht darstellen. Im besten Fall behilft man sich mit Näherungen oder Methodiken, die ein Gesamtrisikoprofil erzeugen, welches jederzeit aufgrund von Aggregationsaspekten diskutabel ist, im Zweifel ist das Risikomanagement jedoch lückenhaft in seiner Lieferstrecke und Einheitlichkeit angefangen von der Risikointegration aller betroffenen (IKT-)Bestandteile eines Prozesses bis zur Einwertungsmethodik von einzelnen Risiken.

Zweitens ist die Sachkenntnis im Management Body oftmals nicht in der Breite und Tiefe vorhanden, um IKT-Risiken angemessen managen zu können. Dies beginnt bei Aufsichtsräten, die nicht immer wg. ihrer branchenspezifischen Fachkenntnis berufen wurden und daher fachfremd nur bedingt zur Kenntnis nehmen können wie sich Risikosituationen entwickeln, geschweige denn in einen „challenger modus“ übergehen können, um Auswirkungen zu bewerten wie es bspw. Art. 5 Abs. 2, i, iii fordert.

Überdies sind auch allein in Anbetracht der umfänglichen Regelungen des DORA und Begleittexte (in Summe über 1000 Seiten) die Leitungsorgane im Zugzwang, einen Weg zu finden, um zumindest in angemessener Zeit etwaige Lücken in ihrer Befähigung zu schließen. Die z. T. notwendigen Tiefenschulungen in der Breite, um diesen Reifegrad zu erreichen, erscheinen als akute Herausforderung – eine Vollumsetzung zu Januar 2025 unmöglich.

Worauf den Fokus legen?

Das Leitungsorgan muss gemäß DORA Art. 5 Abs. 2 den IKT-Risikomanagementrahmen definieren, genehmigen, überwachen und verantworten. In seiner Governance-Funktion wird dabei von der Erzeugung strategischer Dokumente über die Festlegung von Toleranzschwellen des Gesamt-IKT-Risikos bis zu gesonderten Meldekanälen für Drittparteidienstleister, ihre Risiken und geplanten Veränderungen vieles spezifiziert, was oftmals auf Basis bestehender Regulierung bereits zumindest inhaltlich vorhanden war. Vorhandenes weiterzuentwickeln und dies mit Plänen zu unterlegen, um sowohl im Management Body befähigt aber auch im Unternehmen eine risikoadäquate Steuerung im Sinne des DORA nicht nur theoretisch einzuführen, sondern wirksam zu etablieren muss also das Credo sein.

Die generelle Erwartungshaltung des DORA zum Fokus des Management Body auf die Risikoperspektive kann schlussendlich auch umgangssprachlich zusammengefasst werden als Wechsel des Leitmotivs der Regulierung von „Sei möglichst sicher“ zu „Kenne deine Risiken – handle angemessen“.

PRAXISTIPPS

  • Verlieren Sie das große Ganze nicht aus dem Blick. Risikomanagement ist der neue Fokus der Regulierung – bereiten Sie sich vor, um bspw. als Aufsichtsrat Ihrer Kontrollaufgabe auch inhaltlich gerecht werden zu können.
  • Fokus, Fokus, Fokus! Sollten Sie merken, dass Sie nicht alle DORA-Themen im Sinn des Art. 5 angemessen umsetzen können, identifizieren Sie Ihre Abweichungen, erstellen Sie Ihre Mitigierungspläne und erfassen Sie Ihre Risiken. Es ist nicht adäquat auf 2025 „zu warten“ und in Prüfungen anzugeben, dass man als Management Body nicht genug Zeit hatte oder ja noch im „Projektmodus“ arbeitet und deswegen keine der noch bestehenden Lücken als Risiken erfasst hat.
  • Suchen Sie sich kompetente Unterstützung. Ob interne oder externe Experten; wichtig ist es, das neue Leitmotiv der Regulierung zum Risikomanagement sauber zu implementieren. Wir zeigen Ihnen gerne, wie Sie das Thema feststellungsfrei umsetzen und dabei Ihren Pflichten gerecht werden.


[1] Art. 45, Beweggründe, Präambel der DORA.


Beitragsnummer: 22798

Beitrag teilen:

Produkte zum Thema:

Produkticon
Fit & Proper-Praxisleitfaden

59,00 € inkl. 7 %

Produkticon
Zertifikat: Fachkunde DORA/ IKT-Risiken für die Interne Revision (FCH)

2.076,00 € exkl. 19 %

18.02.2025 - 25.02.2025

Produkticon
FCH Fachtagung IT-Regulatorik 2025: DORA in Praxis & Prüfung

999,00 € exkl. 19 %

07.10.2025

Produkticon
ACHTUNG: DORA–Anforderungen zur IT-Regulatorik für den Management Body

469,00 € exkl. 19 %

20.01.2025

Beiträge zum Thema:

Beitragsicon
Schrittweise Aufhebung der BAIT beschlossen

Aufhebung der Rundschreiben zu BAIT erfolgt in zwei Schritten

22.01.2025

Beitragsicon
Diversity – Mehrwert oder Risiko für die Bank?

Unternehmen, die in globalisierten & digitalisierten Wirtschaft erfolgreich bestehen wollen. In diesem Kontext rückt ein Thema zunehmend in den Fokus Vielfalt

24.01.2025

Beitragsicon
Anforderungen aus DORA an das Fachwissen des „Management Body“

IT Fachwissen für das Leitungsgremium des Finanzinstituts, das verantwortlich für die Überwachung und Steuerung der unternehmerischen Aktivitäten ist.

19.09.2024

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.