Artikel
TechCompliance: Technologische Risiken stellen Unternehmen vor neue Herausforderungen
Thomas John, Senior Manager bei Deloitte Österreich, spricht im Interview über den Umgang mit technologiebezogenen Risiken.
Die IT in Unternehmen ist oft sehr weitläufig und reicht vom normalen IT-Betrieb über IT-Sicherheit und Outsourcing-Themen bis hin zu modernen Technologien beispielsweise im Zahlungsverkehr. Speziell Unternehmen in der Finanzdienstleistungsbranche sind dabei in einem stetigen Fokus der Aufsichtsbehörden. Thomas John, Senior Manager bei Deloitte Österreich, beleuchtet im Interview aktuelle technologiebezogene Herausforderungen und Anforderungen.
Sie betreuen aktuell viele Projekte im Zusammenhang mit dem Management von IT-Risiken. Welche Herausforderungen ergeben sich dabei für Unternehmen?
IT-bezogene Risiken und Anforderungen an die Compliance haben in den vergangenen Jahren kontinuierlich zugenommen. Die fortschreitende Digitalisierung und der zunehmende Einsatz von modernen Technologien im Rahmen der Finanzberichterstattung, des Meldewesens und der Geschäftsprozesse führen dazu, dass sich Unternehmen im Rahmen des Risikomanagements verstärkt damit auseinandersetzen müssen. Schon während der Finanzkrise 2008 wurde klar, dass solche Risiken als wesentlicher Bestandteil des operationellen Risikomanagements zu betrachten sind. Die COVID-19-Pandemie verdeutlicht nun deren Bedeutung für das nichtfinanzielle Risikomanagement.
Durch die Definition neuer Arbeitswelten ändern sich die Risiken – und damit auch die Herausforderungen, denen sich Unternehmen stellen müssen. Aktuell zählen dazu die Gewährleistung einer angemessenen IT- bzw. IKT-Sicherheit und eines Business Continuity sowie IT Service Continuity Managements, aber auch die Erhaltung des Betriebs von Geschäftsprozessen wie beispielsweise im Zahlungsverkehr.
Ziel ist es, die IT-Risiken, die auf Unternehmen einwirken, zu reduzieren und den Erhalt des Bankbetriebs sowie die Verfügbarkeit und Ausübung von Geschäftsprozessen sicherzustellen. Die Aufrechterhaltung des Geschäftsbetriebs steht auch im Fokus nationaler und internationaler Aufsichtsbehörden und wird insbesondere für Finanzdienstleister durch diverse Standards, Richtlinien und Gesetze aus Compliance-Sicht geregelt und gesteuert. Für Unternehmen ist es wichtig, dass sie diesbezüglich ihre Hausaufgaben machen und die Anforderungen im Detail kennen und verstehen.
Sie haben sich ändernde und neue Regularien für Finanzdienstleister erwähnt. Welche neuen Standards, Richtlinien oder Gesetze sind aus Ihrer Sicht derzeit am Bedeutendsten?
Gerade in diesem Bereich werden derzeit nahezu quartalsweise neue Standards und Richtlinien vorgestellt oder in Kraft gesetzt. Ein aktuelles Beispiel ist die neue Leitlinie für das Management von IKT- und Sicherheitsrisiken (EBA/GL/2019/04) der Europäischen Bankenaufsichtsbehörde, welche auch aus Sicht der Finanzmarktaufsicht in Österreich für alle Kreditinstitute, Zahlungsdienstleister, CRR-Wertpapierunternehmen und auch betriebliche Vorsorgekassen in Österreich seit dem 30. Juni 2020 gilt. Hierbei handelt es sich um ein Rahmenwerk, dass die Ausgestaltung der IT-Sicherheit in Unternehmen von der Strategiedefinition bis hin zur operativen Steuerung und Überwachung regelt.
Speziell ist dabei, dass dieses Rahmenwerk aufgrund der Vielschichtigkeit des Themenbereichs sowohl auf andere EBA-Leitlinien wie die Leitlinie zu Auslagerungsvereinbarungen (EBA/GL/2019/02) verweist und zusätzliche Anforderungen definiert als auch Querverweise zu anderen internationalen Rahmenwerken enthält – wie beispielsweise das Datenintegritätsmanagement gemäß BCBS 239 und die Anforderungen an ein Business Continuity Management System nach ISO 22301.
Im Zusammenhang mit der Einrichtung eines funktionierenden Zahlungsverkehrs in nationalen Gesetzen wie dem ZaDiG 2018 und internationalen EU-Verordnungen wie der PSD2 (Directive (EU) 2015/2366) wird darauf verwiesen und es finden sich beispielsweise Synergien zum SWIFT Customer Security Program und den in TARGET2/T2S definierten Sicherheitskontrollen.
Welche Auswirkungen ergeben sich dadurch auf die handelnden Personen in Unternehmen? Welchen Anforderungen müssen Verantwortliche sich dahingehend stellen?
Die in den genannten Gesetzen, Richtlinien und Standards gesetzten Anforderungen wirken sich auf alle Ebenen des Unternehmens aus und betreffenden nicht mehr nur IT-Abteilungen. Vielmehr sind unterschiedlichste Bereiche wie etwa die Abteilungen für Compliance, Aufsichtsrecht, Risikomanagement, Security, Zahlungsverkehr oder auch Beauftragte für Auslagerungen, Datenschutz und BCM betroffen. All diese Personengruppen und insbesondere deren Leitungsorgane sind verpflichtet, die aufsichtlichen Anforderungen zu kennen und auch danach zu handeln. Ferner sind alle Mitarbeiterinnen und Mitarbeiter, die mit IT-Systemen und IT-Anwendungen arbeiten, über die Anforderungen bei der Nutzung selbiger zu informieren.
Die gesamthafte Einhaltung der Regularien ist auch in der Verantwortung des Vorstands bzw. der Geschäftsführung des Unternehmens zu sehen. Für Letztere stellt dies einen wichtigen Bestandteil zur Einhaltung ihrer Sorgfaltspflichten dar, was einen achtsamen und integren Umgang mit diesen Themenbereichen erfordert.
Zum Abschluss eine Frage zu Ihrer persönlichen Einschätzung, wie wird sich die Wichtigkeit und der Einfluss von technologiebezogenen Regulatorien in Zukunft entwickeln?
Der Einsatz moderner Technologien – wie etwa in Hinblick auf künstliche Intelligenz, Datenanalyseverfahren oder Blockchain sowie das Fortschreiten der Digitalisierung im Allgemeinen – ist heutzutage gerade mit der Transformation bestehender Arbeitsmodelle nicht mehr wegzudenken und wird in den nächsten Jahren sicher noch weiter zunehmen.
Die zuvor genannten aufsichtlichen Anforderungen sind dabei nur als erster Ansatz zu sehen, um diesen technologiebezogenen Risiken zu begegnen. Es ist zu erwarten, dass die Anzahl und Frequenz von aufsichtlichen Regularien auch in Zukunft nicht abreißt. Dies wird sowohl Klarstellungen und Vertiefungen bestehender Regularien als auch neue Standards, Richtlinien und Gesetze zur Begegnung moderner Technologien und daraus resultierenden Risiken betreffen. Das Einbeziehen von externer Expertise kann hier vielen Unternehmen Erleichterung bringen.