OpRisk SPEZIAL: IKT-Risiken im Fokus der Aufsicht

• Eckpunkte der MaRisk und DORA zu IKT-Risiken aus Perspektive der Aufsicht
• Ermittlung, Quantifizierung und Beurteilung der IKT-Risiken
• Überleitung von IKT-Risiken in die OpRisk-Steuerung
• Anforderungen aus dem neuen OpRisk-Standardansatz
• Überwachung von IKT-Risiken im OpRisk-Controlling

DORA löste Anfang 2025 die BAIT ab und geht mit deutlich erhöhten Anforderungen an die Institute und deren IKT-Risikosteuerung einher! Eine starke Zunahme der Cloud- und Cyber- Risiken hat das OpRisk der Institute in den vergangenen Jahren deutlich erhöht.

IKT-Risiken sind daher ausgewiesener Prüfungsschwerpunkte der BaFin (Risiken im Fokus), zumal in den letzten Jahren zunehmend schwerwiegendere Mängel bei Aufsichts-, Revisions- und Abschluss-Prüfungen im Bereich der IKT-Risiken festgestellt wurden.

Das IKT-Risikomanagement muss aktuelle IKT-Risikotrends wie Cyberrisiken, IT-Auslagerungs-Risiken, IKT-Dienstleister-Risiken oder auch IT-Projektrisiken erkennen und in die OpRisk-Steuerung überleiten.

Die Identifizierung und Quantifizierung von IKT-Risiken (auch qualitativ) wird daher zu einer schwierigen, aber dennoch notwendigen Aufgabe, da auch der neue Standardansatz zur Messung des OpRisk für viele Institute mit einer komplexeren Berechnung der OpRisk-Anforderungen einhergeht.

Somit ergeben sich auch besondere Herausforderungen bei der (IKT-)Risikoinventur. Auch IKT-Drittdienstleiter- Abhängigkeiten sind bei der Analyse und Bewertung von IKT-Risiken mit zu berücksichtigen.