Mit Access Governance auf MaRisk Novelle vorbereitet

Kommentar von Jürgen Bähr, Geschäftsführer G+H Systems GmbH

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat mit den MaRisk eine bindende Verwaltungsanweisung herausgegeben. MaRisk steht für „Mindestanforderungen an das Risikomanagement“. Noch im Jahr 2016 soll eine weitere Novellierung der MaRisk in Kraft treten. Von der Novelle betroffen ist auch das Überprüfen von Berechtigungen und Kompetenzen. Beispielsweise müssen Banken dadurch in Zukunft vergebene Berechtigungen noch präziser verwalten und dokumentieren als bisher. Um den neuen Auflagen entsprechen zu können, gewinnt das Thema Access Governance weiter an Bedeutung.

Veröffentlichungen:

gi GELDINSTITUTE, Ausgabe 1/2017

Funkschau, 05.12.2016

Die letzte Novellierung der MaRisk stammt aus dem Jahr 2012. Aus Sicht der BaFin ist es nun an der Zeit, in einer weiteren Novellierungsphase die Themen Risikodaten und Risikobericht­erstattung in den Fokus zu stellen – bzw. deren Aggregation. Das bedeutet u.a., dass alle Zugangsberechtigungen zu den digitalen Systemen einer Bank regelmäßig überprüft werden müssen. Hier greift das sogenannte Minimalprinzip. Es besagt: Alle Mitarbeiter dürfen ausschließlich die Zugangsberechtigungen besitzen, die sie für ihre tägliche Arbeit in der Bank auch tatsächlich benötigen. Die Banken sind verpflichtet, internen wie externen Revisoren diese Rechtestrukturen offenzulegen. Auch ist es für jede Bank selbst wichtig, jederzeit einsehen zu können, welche Berechtigungen beantragt wurden und ob der entsprechende Antrag bereits bearbeitet wurde. Da dieser Prozess für die Banken kritisch ist, sind papierbasierte Verfahren nicht mehr adäquat. Neben deutlich höheren Bearbeitungszeiten sind die erstellten Reports oftmals nach Fertigstellung bereits wieder überholt. Die MaRisk Novelle fordert ausdrücklich, „den internen Revisionen […] unverzüglich die erforderlichen Informationen zur Verfügung zu erteilen.“ Aus regulatorischer wie auch ökonomischer Sicht ist die Ablösung papierbasierter zugunsten elektronischer Verfahren aus mehreren Blickwinkeln vorteilhaft. Mittels daccord ist es Fachabteilungen zum Beispiel möglich, den Status einer Rechtevergabe per Knopfdruck als Report einem Vorgesetzten zu melden. Die Software dokumentiert außerdem lückenlos, wer wann welche Berechtigung erteilt oder gelöscht hat. Das erleichtert den Banken sowohl die tägliche Arbeit als auch die Einhaltung der neuen Vorschriften.

Degussa Bank setzt auf daccord

daccord von G+H Systems ist eine digitale Access Governance-Lösung, an die auch banken-spezifische Systeme angebunden werden können. Über daccord kann ein Soll-Rollenkonzept hinterlegt werden, das es ermöglicht, Über- und Unterberechtigungen der Mitarbeiter sofort zu ermitteln. Hinter dem Soll-Rollen-Konzept eines Mitarbeiters verbergen sich Berechtigungen, die zu Gruppen zusammengefasst sind. Über flexible Schnittstellen liest daccord die Zugangsberechtigungen der Mitarbeiter aus den einzelnen IT-Systemen der Bank aus und stellt diese übersichtlich dar. Ein Abgleich der Soll-Berechtigungen mit den tatsächlich vergebenen Berechtigungen ist somit jederzeit auf Knopfdruck möglich.

Zukünftig noch intensivere Nutzung geplant

Beispielhaft voran geht hier die Degussa Bank. Sie hat schon vor dem Inkrafttreten der erwähnten MaRisk-Novelle auf eine digitale Lösung gesetzt und sorgt damit für mehr Transparenz bei der Vergabe von Benutzerberechtigungen. Für die Bank fällt damit der enorme Aufwand der papierbasierten Prozesse sukzessive weg. Das entlastet die Mitarbeiter und vermeidet Fehler. Im Falle einer Überprüfung können mit daccord Auswertungen einfach auf Personen- oder Systemebene durchgeführt werden. Gegenüber dem alten papierbasierten Prozess bringt die Automatisierung der Zertifizierungs- und Rezertifizierungsprozesse von kritischen und unkritischen Systemen eine weitere erhebliche Entlastung der Mitarbeiter mit sich. Denn daccord überwacht diese Vorgänge und informiert automatisiert die jeweiligen System- bzw. Personenverantwortlichen.

Der Großteil der Systeme der Degussa Bank profitiert bereits von dieser digitalen Lösung. In den angeschlossenen Systemen konnten die Benutzerrechte schnell und unkompliziert ausgelesen und auf dieser Basis bereinigt werden. Der nächste Schritt stellt die Bildung eines Rollen- und Rechtemodells dar, in dem einem Mitarbeiter die für die Ausübung seiner Tätigkeit notwendigen Rollen & Rechte zugewiesen werden. Benutzerrechte werden auf diese Weise zu handlichen Gruppen zusammengefasst. Das ermöglicht der Bank die Prüfung der Einhaltung des Minimalprinzips, welches die MaRisk Novelle ausdrücklich fordert. Die Degussa Bank plant bereits, den Einsatz der Software zukünftig zu erweitern.