Millionenstrafe für die UBS: Die Folgen ungenügender Risikomanagement-Strukturen
Die UBS, eine der weltweit führenden Investmentbanken und Finanzdienstleistungsunternehmen, hat in den USA und in Großbritannien über 380 Millionen Dollar Strafe für ihren kürzlich übernommenen Konkurrenten Credit Suisse bezahlt. Dies geschah aufgrund eines unzureichenden Risikomanagements, unerfahrener Mitarbeiter und des Versäumnisses, zuvor festgestellte Mängel zu beheben. Dieser Fall dient als Paradebeispiel für die Bedeutung von Corporate-Governance-Strukturen. Wir haben zu diesem Thema bereits einen Artikel verfasst, der unter folgendem Link nachgelesen werden kann.
Um sich vor möglichen Konsequenzen zu schützen, ist es daher notwendig, vorbeugende Maßnahmen zu ergreifen und die gesetzlichen Vorschriften einzuhalten.
Einhaltung der IT-Anforderungen (BAIT) für Banken
Im Jahr 2017 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ein Rundschreiben herausgegeben, das konkrete IT-Anforderungen definiert. Dieser Katalog umfasst mittlerweile 12 Kapitel, die sowohl Governance- und Organisationspflichten als auch technische Maßnahmen abdecken. Hintergrund der BAIT ist der Paragraph 25a des Kreditwesengesetzes (KWG), der die besonderen organisatorischen Pflichten von Kreditinstituten hinsichtlich des Risikomanagements und der Einrichtung interner Kontrollverfahren festlegt.
Einführung in die Projektmanagementmethode: PRINCE2
PRINCE2 steht für "Projects In Controlled Environments". Dieser Ansatz umfasst 7 Prinzipien, 7 Themen und 7 Prozesse. Die Methode verwendet einen umfassenden Wasserfallansatz und definiert verschiedene Phasen innerhalb eines Projekts. Ein wesentlicher Aspekt dieses Modells ist das Risikomanagement, das von Anfang an berücksichtigt, fortgeführt und dokumentiert wird. Es wird ein Risikoregister erstellt, um alle Risiken umfassend zu identifizieren, zu bewerten und zu delegieren. Damit eignet sich diese Methode, um verschiedene Projekte durchzuführen und sich einen Überblick über alle Risiken zu verschaffen.
Berücksichtigung der identifizierten Risiken gemäß OWASP
OWASP steht für "Open Web Application Security Project" und ist eine Organisation von Experten, die sich mit der Sicherheit von Webanwendungen beschäftigt. Die Gruppe veröffentlicht jährlich einen Bericht über die "Top-10-Liste der häufigsten Angriffe und Hauptrisiken in Webanwendungen". Dies sollte Unternehmen dazu veranlassen, zu prüfen, ob ihre eigenen Anwendungen gegen solche Angriffe geschützt sind oder Maßnahmen zum Schutz vor solchen Angriffen zu ergreifen. Zusätzlich hat OWASP eine Methode entwickelt, um Risiken zu bewerten und zu priorisieren. Eine detaillierte Beschreibung und Umsetzung finden Sie unter folgendem Link.
Fazit
Zusammenfassend lässt sich sagen, dass die Erfüllung rechtlicher Anforderungen, die Durchführung effektiver Risikoanalysen und das Treffen nachhaltiger Entscheidungen eine Herausforderung bleiben. Sie können jedoch durch geeignete Prozesse und IT-Unterstützung bewältigt werden.
Das Streben nach Transparenz, klarem Reporting und unabhängigen Entscheidungsträgern ist eine Antwort auf diese Problematik. Die Einführung einer professionellen Dokumentation mit Hilfe innovativer technischer Lösungen trägt ebenfalls dazu bei, dieses Ziel zu erreichen.
Nutzen Sie die Möglichkeit über soziale Netzwerke mit uns in Kontakt zu treten und zu bleiben
