Die Anforderungen der BaFin


MaRisk-Anforderungen als Herausforderung: Finanzinstitute müssen Datensicherheit gewährleisten, sonst drohen aufsichtsrechtliche Konsequenzen
"daccord" übernimmt das Continuous Auditing: Software überprüft alle "Gesetze" und "Regeln", die zuvor nach den individuellen Anforderungen des Unternehmens und den Anforderungen von MaRisk bzw. anderer gesetzlicher Auflagen als Schablone in das System eingespielt wurden


(30.08.13) - Die Welt der Banken und Finanzmärkte ist ein hochsensibler Bereich und steht im Fokus der Aufmerksamkeit – nach der Krise stärker als zuvor. Unternehmen dürfen sich keine Nachlässigkeiten im Umgang mit Daten und Datensicherheit erlauben. Als Aufsichtsbehörde legt u. a. die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) Mindestanforderungen an das Risikomanagement (MaRisk) fest. In großen Instituten achten in der Regel Risiko-Controller oder Mitarbeiter aus den Bereichen der Informationssicherheit auf die Einhaltung der gesetzlichen Bestimmungen, in kleineren Banken fehlen dafür oft die Ressourcen. Doch für alle gilt: Die Vernachlässigung von MaRisk-Anforderungen kann aufsichtsrechtliche Konsequenzen nach sich ziehen. Finanzinstitute sind dann gefordert, Risikorückstellungen zu bilden, die den Gewinn schmälern und zu Imageverlusten führen.

Welche Anforderungen haben Finanzinstitute zu erfüllen?
Die Zahl der Auflagen und Bestimmungen für Finanzinstitute ist enorm, anspruchsvoll und sie reichen vom Bundesdatenschutzgesetz bis zu den MaRisk-Anforderungen der BaFin. Darunter fallen u. a. die für den Finanzbereich so wichtigen Überprüfungen der Zugriffsberechtigungen auf IT-Systeme. Laut MaRisk (Modul AT 4.3.1) müssen diese Berechtigungen regelmäßig überprüft werden. Ebenso wichtig ist der Prozess zur Vergabe von IT-Berechtigungen. Gemäß MaRisk (Modul AT 7.2) muss sichergestellt werden, dass jeder Mitarbeiter nur über die Rechte verfügt, über die er nach seiner Tätigkeit und Funktion im Unternehmen verfügen darf. Im Arbeitsalltag ist die Überprüfung und strikte Einhaltung dieser Anforderungen allerdings eine Herausforderung. Daher wünschen sich viele Banken und Institute, die von der BaFin geprüft werden, effektive Werkzeuge, die sie bei der Erfüllung der MaRisk-Anforderungen unterstützen.

Zugriffsberechtigungen und Sicherheitslücken durch "Überberechtigungen"
Neben der kontinuierlichen Überprüfung von Zugriffsberechtigungen und IT-Berechtigungen stehen Finanzunternehmen regelmäßig vor der Aufgabe, mögliche Sicherheitslücken zu schließen und bestehende Sicherheitskonzepte zu kontrollieren. Solche Sicherheitslücken können z. B. durch Überberechtigungen entstehen – also etwa durch das "Vergessen" von Berechtigungsrücknahmen für einen Mitarbeiter, der das Unternehmen verlassen oder die Abteilung gewechselt hat. Oder es gibt Auszubildende, die im Rahmen ihrer ausbildungsgemäßen "Reise" durch unterschiedliche Abteilungen plötzlich mehr Zugriffsberechtigungen als der Abteilungsleiter besitzen – und genau diese, im Arbeitsalltag oft nicht so wichtig genommenen "Kleinigkeiten" können zu einem großen Sicherheitsrisiko werden.

MaRisk: Rezertifizierung soll in der Fachabteilung liegen
All diese unterschiedlichsten Anforderungen und Regeln steuern und kontrollieren meist mit hohem Aufwand die IT-Abteilungen. Doch macht es nicht mehr Sinn, die Rezertifizierung, also die Überprüfung der Berechtigungen, in die jeweilige Fachabteilung zu legen? Schließlich weiß der jeweilige Abteilungsleiter genau, welcher seiner Mitarbeiter welche Rechte besitzen darf und warum – und er kontrolliert deswegen fachlich fundiert. Die IT hingegen ist naturgemäß nicht in die Abläufe der einzelnen Abteilungen involviert, erfüllt ausschließlich die Umsetzung der ihr vorgegebenen Regeln.

Software-gestützte Hilfe für Finanzunternehmen
Unternehmen der Finanzbranche – ob global agierend oder national tätig – müssen intern bei der Einhaltung und Erfüllung der gesetzlichen Anforderungen Enormes leisten. Oft werden aufwendige manuelle Berechtigungsanalysen gefahren, die am Tag der Erstellung schon wieder veraltet sind. Fehlende Transparenz über Berechtigungen und Nichteinhaltung von Berechtigungskonzepten sind die Folge. Hilfe bei der Umsetzung der Anforderungen aus den MaRisk bieten moderne Softwareentwicklungen. Sie unterstützen professionell und entlasten sowohl die IT als auch die Fachabteilungen.

Software für einen "Global Player" aus der Finanzbranche
Die Software "daccord" aus dem Hause G + H Netzwerk-Design wurde ursprünglich für die anspruchsvollen Anforderungen eines global agierenden Unternehmens aus der Finanzbranche entwickelt. Der Kunde benötigte u. a. eine Übersicht über alle Zugriffsberechtigungen in seinen unterschiedlichen Unternehmenssystemen, wollte die IT entlasten und die Verantwortung zur Überprüfung der Berechtigungen – wie MaRisk fordert – in die jeweiligen Fachbereiche verlagern. daccord läuft dort seit drei Jahren erfolgreich und wurde an die internen Regelungen, Compliance-Richtlinien und entsprechenden gesetzlichen Anforderungen des Kunden individuell angepasst. Mittlerweile sind rund 300 Systeme verschiedener Hersteller angeschlossen.

daccord – eine Lösung für die Finanzbranche Die Entscheidung für eine Softwarelösung könnte also gerade für Finanzunternehmen bei der Erfüllung wichtiger MaRisk-Anforderungen unterstützen. So übernimmt daccord z. B. das sogenannte Continuous Auditing, d. h., die Software überprüft alle "Gesetze" und "Regeln", die zuvor nach den individuellen Anforderungen des Unternehmens und den Anforderungen von MaRisk bzw. anderer gesetzlicher Auflagen als Schablone in das System eingespielt wurden. Solche entscheidenden Regeln und Gesetze sind zum Beispiel die Trennung von Kreditoren- und Debitorenbereich – kein Mitarbeiter im Kreditorenbereich darf aus Gründen der Funktionstrennungen Zugriff auf den Debitorenbereich haben – oder die "Chinese Wall", die die Zugriffsberechtigungen von Investmentbankern strikt von denen des Emissionsgeschäfts trennt.

Bei BaFin-Überprüfungen: Lückenlose Reports auf Knopfdruck
daccord vergleicht in dem vom Unternehmen vorgegebenen Rhythmus (täglich, wöchentlich, zweiwöchentlich, monatlich …), ob z. B. aktuelle Berechtigungen von Mitarbeitern mit den unternehmensseitig gewünschten Berechtigungen (Soll-Ist-Vergleich) übereinstimmen. In einem Report gehen die Ergebnisse dieses Abgleichs an die jeweils zuständigen Rechte-Verantwortlichen aus der Fachabteilung zur Rezertifizierung. Dieses regelmäßige und kontinuierliche Überprüfen ermöglicht dem Finanzinstitut den Vorweis einer lückenlosen Historie, z. B. bei einer Prüfung durch die BaFin. daccord stellt auf Knopfdruck sowohl den aktuellen Stand als auch die Entwicklung der vergangenen Monate bereit. Alles ist so auf einen Blick einsehbar und belegbar – ob für den Abteilungsleiter, den Geschäftsführer oder den Wirtschaftsprüfer.

Sicherheitslücken erkennen und schließen
Weiter verknüpft daccord als intelligente Software die unterschiedlichen Benutzer-Accounts in den Systemen mit den natürlichen Personen im Unternehmen. Beim Abgleich fi ndet daccord so auch "verwaiste" Accounts, also Accounts von Kollegen im Ruhestand, in Elternzeit oder von Kollegen, die das Unternehmen bereits verlassen haben. Oft sind diese Accounts noch lange nach dem Ausscheiden der Mitarbeiter freigeschaltet. Dies kostet zum einen Geld, z. B. für Lizenzen, Support oder Wartung, und zum anderen geht von "verwaisten" Accounts, gerade beim Wechsel eines Mitarbeiters zu einem Konkurrenzinstitut, ein echtes Sicherheitsrisiko aus.

Praxisnah, MaRisk-konform, zeitsparend und effizient
Praxisnahe Unterstützung im Arbeitsalltag tut Not. Eine Softwarelösung wie daccord zeigt potenzielle Gefahren nicht nur auf, sondern informiert aktiv und trägt so zur Schließung solcher Sicherheitslücken bei. Die Entscheidung, sich bei der Umsetzung wichtiger MaRisk-Anforderungen durch eine Softwarelösung unterstützen zu lassen, entlastet Unternehmen im Banken- und Finanzbereich also enorm. Sie erfüllen so im Risikocontrolling- und Compliance-Bereich viele der neuesten MaRisk-Anforderungen und wissen ihre datensensiblen Bereiche sicher, effizient und zeitsparend verwaltet.
(G+H Netzwerk-Design: ra)

G+H Netzwerk-Design: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Finanzdienste + Versicherungen

  • Die Anforderungen der BaFin

    Die Welt der Banken und Finanzmärkte ist ein hochsensibler Bereich und steht im Fokus der Aufmerksamkeit - nach der Krise stärker als zuvor. Unternehmen dürfen sich keine Nachlässigkeiten im Umgang mit Daten und Datensicherheit erlauben. Als Aufsichtsbehörde legt u. a. die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) Mindestanforderungen an das Risikomanagement (MaRisk) fest. In großen Instituten achten in der Regel Risiko-Controller oder Mitarbeiter aus den Bereichen der Informationssicherheit auf die Einhaltung der gesetzlichen Bestimmungen, in kleineren Banken fehlen dafür oft die Ressourcen. Doch für alle gilt: Die Vernachlässigung von MaRisk-Anforderungen kann aufsichtsrechtliche Konsequenzen nach sich ziehen. Finanzinstitute sind dann gefordert, Risikorückstellungen zu bilden, die den Gewinn schmälern und zu Imageverlusten führen.

  • FATCA-Umsetzung für Banken

    iBS bringt mit "iBS-Fair" ein Softwareprodukt auf den Markt, mit dem Finanzinstitute die Anforderungen von FATCA (Foreign Account Tax Compliance Act) flexibel umsetzen können. Finanzinstitute weltweit sind gemäß der FATCA-Regularien verpflichtet, die Konten ihrer Kunden auf eine potentielle US-Steuerpflicht zu überprüfen und regelmäßig Daten in Richtung USA zu übermitteln. Die Bestimmungen für die FATCA-Umsetzung in Deutschland stehen noch nicht endgültig im Detail fest, sollen aber ab Anfang 2014 stufenweise angewendet werden.

  • FATCA-Anforderungen erfüllen

    Die Tonbeller AG, Anbieterin von integrierten Lösungen für Governance, Risk und Compliance, stellt die neue Softwarelösung "Siron FATCA" zur erfolgreichen und raschen Implementierung von FATCA-Compliance bei Banken und Versicherungen vor. Die innovative Lösung, die sich in den Kundenannahmeprozess und in bestehende IT-Landschaften nahtlos integriert, unterstützt Finanzdienstleister dabei die FATCA-Anforderungen, mit denen die US-amerikanische Steuerbehörde IRS Steuerhinterzieher ins Visier nimmt, zeitnah umzusetzen. Siron FATCA erfüllt durch das integrierte flexible Regelwerk sowohl die Full-FATCA Anforderungen als auch die IGA-Anforderungen. Eine Reporting-Komponente ermöglicht die sichere elektronische Übermittlung der Daten an die US-Steuerbehörde oder an die nationalen Behörden.

  • Einlagen- und Girokonten vor Betrug schützen

    Fico hat den Einsatzbereich des Betrugserkennungssystems "Fico Falcon Fraud Manager" erweitert. Die neue Version 6.3 schützt neben Kartenkonten auch Einlagen- und Girokonten vor verschiedenen Betrugsformen und ermöglicht somit die umfassende Überwachung von Zahlungstransaktionen. Dynamisches Profiling, neuronale Netze und selbst-kalibrierende Modelle sorgen für individuellen Schutz und für ein positives Produkterlebnis beim Kunden. E-Payment, E-Banking und Mobile Banking stellen die Kreditinstitute vor eine Vielzahl an Herausforderungen: Es gilt, Betrugsverluste und Reputationsrisiken zu vermeiden, Prozesse zu straffen und dennoch einen funktionierenden Service zu gewährleisten. Fico Falcon Fraud Manager 6.3 bietet selbstlernende Analytik, um Betrugsversuche in Echtzeit zu erkennen und zu stoppen.

  • Verbesserte Rentabilität im Kreditgeschäft

    Fico hat ein Upgrade ihres Kundenmanagement-Systems "Fico Triad Customer Manager" auf den Markt gebracht. Mit Fico Triad Customer Manager werden weltweit bereits zwei Drittel aller Kreditkartenkonten und Multi-Produktportfolios verwaltet. Die neue Version 8.6 ermöglicht es Kreditinstituten, noch präzisere und kundenorientiertere Entscheidungen zu treffen, wenn es um die Vergabe von Darlehen, das Festlegen von Kreditkartenlimits und Zinssätzen, Cross-Selling oder den Umgang mit Verzugskunden geht. Fico Triad 8.6 unterstützt nicht nur Entscheidungsprozesse rund um das Kreditgeschäft mit privaten Kunden, sondern eignet sich auch für den Einsatz im Geschäft mit kleinen- und mittleren Unternehmen (KMU).

  • Compliance-Änderungen gerecht werden

    Interactive Data Corporation hat bekanntgegeben, ihren Evaluierungsdienst für Over-the-counter (OTC)-Derivate auf unabhängige Bewertungen von Credit Default Swaps (CDS) und ausgewählten CDS-Indizes zu erweitern.

  • SEPA-Migration und SEPA-Compliance

    Mit einer neuen Mandatsverwaltungssoftware sowie mit umfassenden, produktunabhängigen Service-Leistungen, zusammengefasst unter dem Stichwort "SEPA for Insurance", unterstützt msg systems Unternehmen dabei, ihre IT-Systeme und Prozesse termingerecht und effizient an die Anforderungen der Single Euro Payments Area (SEPA) anzupassen.

  • Investment-Compliance gewährleisten

    Princeton Financial Systems gab die Einführung einer neuen Version ihres Investment-Compliance-Systems "MIG21" bekannt. Die MIG21-Version 7.2 erweitert die Funktionalität der vorherigen Version 7.1 durch neue Eigenschaften, die Skalierbarkeit und Performance weiter optimieren sollen.

  • Management von Ausfall-Prognosemodellen

    Fico, eine Anbieterin von prädiktiver Analytik und Lösungen für das Decision Management, gibt die sofortige Verfügbarkeit von "Fico Model Central Solution" bekannt. Die Lösung unterstützt Banken, Versicherungen und Handelskonzerne dabei, die Leistungsfähigkeit ihrer Ausfall-Prognosemodelle zu verbessern und diese im Einklang mit strenger werdenden Compliance-Regularien zu verwalten.

  • Facta: Compliance mit US-Steuer-Reporting erhalten

    Facta steht für "Foreign Account Tax Compliance Act" und ist die Kurzbezeichnung für einen Teil eines im Jahr 2010 in Kraft getretenen US-Gesetzes, mit dem das US-Steuer-Reporting von ausländischen Finanzinstitutionen deutlich verschärft wurde. Mit diesen neuen Vorgaben verpflichtet die US-Regierung alle ausländischen Finanzinstitute, Informationen über Konten von US-Bürgern an die US-amerikanischen Steuerbehörde IRS weiterzuleiten. Damit soll sichergestellt werden, dass US-Bürger Einkommen, die sie außerhalb der USA erzielen und die über bestimmten Einkommensgrenzen liegen, in den USA versteuern. Weltweit sind von Facta zehntausende Unternehmen der Finanzbranche, wie zum Beispiel Banken, Versicherungsunternehmen oder Investmentgesellschaften, betroffen.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen