Newsfeed abonnieren
Lösungen

Lösung VKB-Bank | Unisys

Operational Risk Management: VKB-Bank setzt auf Unisys-Lösung

Aus MONITOR 7-8/2005
Drucken | Versenden | Feedback

Aufbauend auf einem 2003 eingeführten Informantionssicherheits-Management hat sich die in Oberösterreich tätige Volkskreditbank AG (VKB-Bank) nun mit einem Unisys-Software gestützten "Operational Risk Management System" Basel II-fit gemacht. OpRisk Management ist aber nicht nur für Banken von Interesse.

Der Forderung nach mehr Transparenz und Kontrolle stehen gerade im Bankensektor steigende Komplexität und größer werdende Risikopotentiale gegenüber. Immer mehr regulatorische Anforderungen (Basel II, Sarbanes Oxley Act, Datenschutzbestimmungen, ...) müssen mit den Herausforderungen der Geschäftsrealität (neue Technologien, Internet-Angriffe, Disaster Recovery/Business Continuity, ...) unter einen Hut gebracht werden - und dies möglichst ohne dass die Kosten explodieren.

In diesem Spannungsfeld sei es auch für mittelgroße Banken wie die VKB-Bank (Bilanzsumme 2 Mrd. Euro, 45 Geschäftsstellen) wichtig, ein effizientes und verlässliches Security Management System zu haben, erklärt Andreas Klopf, Sicherheitsbeauftragter der VKB-Bank: "Früher wurde Informationssicherheit bei uns nur auf der technischen Ebene behandelt. Im Zuge eines Security-Quickchecks sind dann aber vor allem organisatorische Unzulänglichkeiten zu Tage getreten. Das Bewusstsein, dass Informationssicherheit alle Mitarbeiter und Abteilungen angeht, war nicht sehr ausgeprägt."

Diese Erkenntnis war auch Ausgangspunkt der Zusammenarbeit mit Unisys. Mit der Expertise des global agierenden Anbieters von IT-Dienstleistungen und -Lösungen wurde ein ganzheitliches Sicherheitsmanagement-System implementiert, in das auch die IT-Sicherheit eingebettet ist. Das Dach dieses "Security-Hauses" bildet eine eigens definierte Sicherheits-Policy. Als Sicherheitsstandard wählte man die internationale Informationssicherheitsnorm ISO 17799. Daraus wurden Sicherheitsrichtlinien für die Bereiche Personal, Prozesse, Systeme und Umwelt abgeleitet. Das kontinuierliche Sicherheitsmanagement durchdringt kontrollierend und regulierend all diese unternehmensrelevanten Bereiche.

Mit den Ergebnissen des Projekts ist man bei der VKB-Bank zufrieden. Klopf: "Wir haben jetzt die Gewährleistung, dass wir alle regulatorischen Anforderungen erfüllen und dass alle relevanten IT-Risken berücksichtigt werden. Darüber hinaus können wir jedem beweisen, dass wir nach internationalen Normen arbeiten und unsere Sicherheit strukturiert und Ziel gerichtet ist. Sicherheitsmaßnahmen werden jetzt dort gesetzt - und zwar nur dort, wo sie notwendig sind, was nicht zuletzt die Kosteneffizienz deutlich erhöht.

Auch Wolfgang Schuneritsch, Security- und Risk Management-Berater von Unisys Österreich lobt das gute Projektergebnis: "Es ist uns durch gezielte Informationsarbeit gelungen, in allen Abteilungen das Verständnis für die Maßnahmen zu wecken und die Mitarbeiter mit ins Boot zu holen. Die Zusammenarbeit war ausgezeichnet."

Operational Risk Management

Ausgehend von den Ergebnissen des Informationssicherheitsprojekts wurde 2004 auch ein Management-System für das operationale Risiko eingeführt. Zentrales Anliegen des Projekts war es, operationale Risken - insbesondere IT-Risken - messbar und bewertbar zu machen. Denn nur dann ist es möglich, fundierte Management-Entscheidungen zu treffen, welche Risiken akzeptiert werden und welche "behandelt" werden sollen.

"Gerade in der Definition und Bewertung des operationalen Risikos hatten wir großen Nachholbedarf", so Klopf. Mit Hilfe des "Unisys Risk Cockpit" (uRICO) beziehungsweise dem Vorgängerprodukt "BEATO", einem Software-Tool zur systematischen Erfassung, Bewertung, Konsolidierung und Priorisierung von operationalen Risiken habe man aber nun ein leistungsfähiges und übersichtliches Werkzeug zur Verfügung. Der Workflow: Auf Basis von Fragenkatalogen werden in allen relevanten Stellen und Filialen Risk Assessments abgehalten. Die Ergebnisse der Befragungen werden mit Hilfe von uRICO zu einer anschaulichen Risikolandkarte konsolidiert. Von dieser "Risk Matrix" wiederum leitet man mit Hilfe des Tools Aktionsfelder ab.

Klopf: "Wir haben 50 Risikofelder abgeleitet und zu 30 Aktionsfelder-Clustern zusammengefasst. Die können dann in einem einfachen Arbeitsschritt bewertet und priorisiert werden. Die Bewertung erfolgt im Hinblick auf Business Impact Kriterien, rechtliche Verpflichtungen sowie quantitative Merkmale, also die Höhe der Schadenspotentiale." Die daraus abgeleiteten Maßnahmenvorschläge werden einer Kosten/Nutzen Analyse unterzogen und bilden so eine fundierte Grundlage für "Risikoentscheidungen" des Managements. "Mit Hilfe des Risk Management Tools ist der Vorstand viel leichter von notwendigen Maßnahmen zu überzeugen, weil die Ergebnisse die Meinung von vielen Mitarbeitern repräsentieren", freut sich Klopf. Ebenfalls Teil des Risk Management Systems der Volkskreditbank ist eine Schadensdatenbank, in der alle auf operationale Risken zurückzuführenden Schadensfälle gesammelt, bewertet und gegenübergestellt werden. "Wir sind jetzt Basel II-fit", ist Klopf überzeugt.

Basel II

Basel II soll Ende 2006 in Kraft treten und ist im Wesentlichen eine Neufassung und Weiterentwicklung der 1992 in Kraft getretenen Baseler Eigenkapitalvereinbarung (Basel I), die Regeln für eine risikoadäquate Eigenkapitalausstattung von Banken formuliert. Die bisherigen Risikoarten Kreditrisiko und Marktrisiko werden um das operationale Risiko ergänzt, das künftig explizit mit Kapital zu unterlegen sein wird. Unter operationalem Risiko versteht man alle Geschäftsrisken, die nicht in den Begriffen Markt-, Kredit-, Zins-, Wechselkurs- oder Investitionsrisiko enthalten sind. Das sind im Wesentlichen Verluste, die auf fehlerhafte interne Prozesse und Systeme, auf menschliche Fehler oder Böswilligkeit sowie auf nicht beeinflussbare externe Ereignisse zurückzuführen sind. So musste die VKB-Bank aufgrund der Hochwasserkatastrophe 2002 eine Filiale für Wochen schließen. Klopf: "Das Risiko eines Totalausfalls von Filialen hatten wir bis dahin kaum in Betracht gezogen, geschweige denn quantifiziert." Heute gibt es bei der VKB-Bank für derartige Fälle ein gesondertes Krisenmanagement.

Basel II war natürlich der wesentliche Treiber für die Einführung eines OpRisk Managements, aber der Nutzen des Systems geht für Klopf weit darüber hinaus: "Durch den Nachweis, dass wir professionell mit Risiken umgehen, stärken wir das Kundenvertrauen. Und das ist gerade im Bankenbereich wichtig. Darüber hinaus hat sich auf allen Ebenen des Unternehmens ein Risikobewusstsein etabliert, das früher so nicht vorhanden war. Und nicht zuletzt ermöglicht das OpRisk Management auch einen gezielteren Mitteleinsatz." Prinzipiell sei - aus den eben genannten Gründen - OpRisk Management für jedes Unternehmen von Interesse, glaubt Schunerisch. "Derzeit unterstützen wir gerade eine Versicherung bei der Einführung. Die müssen ja ähnliche Compliance-Anforderungen wie Banken erfüllen, so der Unisys-Berater. Die VKB-Bank sieht Schuneritsch als Vorbild: "Großbanken haben ja eigene Abteilungen, die sich nur mit OpRisk Management beschäftigen. Aber für ein kleines Institut hat die VKB jetzt ein leistungsfähiges und kosteneffizientes Risk-Management."

www.vkb-bank.at
www.unisys.at

weitersagen: drucken
Termine

18. Juni - 22. Juni

In ganz Österreich

SAP Mittelstandstage

Print-Archiv
Folgen Sie uns
Leser empfehlen
MONITOR-Newsletter

Abonnieren Sie unseren Newsletter!

E-Mail:
Die von Ihnen angegebene E-Mail Adresse wird von MONITOR Online weder an Dritte weitergegeben noch zu anderen Zwecken verwendet.
MONITOR-Autoren
Dr. Christine Wahlmüller

Dr. Christine Wahlmüller-Schiller ist freie Autorin und Kommunikationsberaterin, spezialisiert auf die IT- und Telekom-Branche. ..mehr..

Die neuesten Artikel:

© Copyright 1983-2012 by MONITOR / Bohmann Druck und Verlag Gesellschaft m.b.H. & Co. KG (www.bohmann.at)

Add to Google  | Abo | Themenvorschau | Mediadaten | Inserate buchen | Kontakt | Impressum