Jahresbericht 2012 - Stadtsparkasse Düsseldorf
Jahresbericht 2012 - Stadtsparkasse Düsseldorf
Jahresbericht 2012 - Stadtsparkasse Düsseldorf
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>Stadtsparkasse</strong> Düsseldorf I <strong>Jahresbericht</strong> <strong>2012</strong> 111<br />
ab 1 Euro Bruttoschaden) in der Schadensfalldatenbank<br />
erfasst worden. Davon sind zwei<br />
Schadensfälle als bedeutend einzustufen<br />
(Vorjahr: 0).<br />
Risikosteuerung<br />
Durch Regelung von Prozessen, Kontrollen und<br />
Kompetenzen werden Risiken vermieden bzw.<br />
vermindert. Soweit möglich und unter Kosten-/<br />
Risikobetrachtung werden Risiken versichert<br />
(Gebäudeversicherung, Personalgarantieversicherung,<br />
Haftpflicht etc.). Die Übertragung<br />
auf Dritte (z.B. Aufgaben, Prozesse) im Rahmen<br />
von Outsourcing reduziert operationelle Risiken<br />
in der <strong>Stadtsparkasse</strong> Düsseldorf selbst. Jedoch<br />
tritt an diese Stelle das Risiko, dass der Outsourcingpartner<br />
seine Leistungen in vereinbarter<br />
Form nicht erbringt. Dieses Risiko wird durch<br />
einen geregelten Outsourcingprozess inkl.<br />
Risikoanalyse und Bericht reduziert und<br />
überwacht.<br />
Die Leiter der Geschäfts- und Zentralbereiche<br />
sind für das Management der operationellen<br />
Risiken (insbesondere operationeller Risiken im<br />
Bereich von Mitarbeitern und internen Verfahren)<br />
ihrer Organisationseinheit verantwortlich.<br />
Das Risikomanagement berichtet monatlich<br />
über eingetretene Schäden und jährlich über<br />
periodische Risikoinventur.<br />
In der operativen Umsetzung verantwortet<br />
der Zentralbereich Organisation notwendige<br />
Notfallkonzepte, die den Umgang mit operationellen<br />
Risiken festlegen, die in der internen<br />
Infrastruktur und durch externe Einflüsse<br />
entstehen können. Die Konzepte enthalten organisatorische<br />
und technische Regelungen, durch<br />
die eine einheitliche Vorgehensweise in einem<br />
Katastrophenfall sichergestellt wird. Des Weiteren<br />
werden die Aufgabenfelder Betriebssicherheit,<br />
Arbeitsplatzsicherheit und IT-Sicherheit<br />
im Zentralbereich Organisation umgesetzt.<br />
Für jede Outsourcingmaßnahme ist ein fachlich<br />
Verantwortlicher benannt, der die Überwachung<br />
und Steuerung übernimmt. Auf dieser Basis<br />
erfolgt u.a. jährlich eine Bewertung durch den<br />
zentral verantwortlichen Outsourcingbeauftragten.<br />
Dieser berichtet an den Vorstand.<br />
Bei den als wesentlich eingestuften Auslagerungen<br />
bestehen Risikokonzentrationen hinsichtlich<br />
des IT-Dienstleisters sowie der Wertpapierabwicklung.<br />
Diese Konzentrationen treffen auf<br />
nahezu alle Sparkassen Deutschlands zu. Zur<br />
Steuerung werden umfassende Informations-,<br />
Eskalations- und Notfallverfahren eingesetzt.<br />
Weitere Risikokonzentrationen sind derzeit<br />
nicht zu erkennen.<br />
Der Schutz vor unberechtigten Zugriffen und<br />
vertraulichen Informationen wird durch Umsetzung<br />
der Informationssicherheitsleitlinie<br />
gewährleistet. Mit Hilfe der Informationssicherheitsleitlinie<br />
werden die Rahmenbedingungen<br />
für die Informationssicherheit der <strong>Stadtsparkasse</strong><br />
Düsseldorf definiert. Die Leitlinie unterstützt<br />
die Geschäfts- und Risikostrategie der <strong>Stadtsparkasse</strong><br />
Düsseldorf.<br />
Sie beinhaltet die<br />
• Grundsätze der Informationssicherheit,<br />
• grundlegende Sicherheitsorganisation,<br />
• Vorgaben zur Durchsetzung der<br />
Informationssicherheits-Leitlinie und<br />
• Regelungen zur Sensibilisierung<br />
der Mitarbeiter.<br />
Die eingerichteten Zugriffsberechtigungen dürfen<br />
nicht im Widerspruch zur organisatorischen<br />
Zuordnung von Mitarbeitern stehen. Insbesondere<br />
bei Berechtigungsvergaben im Rahmen<br />
von Rollenmodellen wird darauf geachtet, dass<br />
Funktionstrennungen eingehalten beziehungsweise<br />
Interessenkonflikte vermieden werden.<br />
Die IT-Systeme werden auf Basis eines Klassifizierungsverfahrens<br />
vor ihrem erstmaligen<br />
Einsatz und nach wesentlichen Veränderungen<br />
getestet und von fachlich sowie technisch<br />
zuständigen Mitarbeitern abgenommen.<br />
Sonstige Risiken<br />
Risikodefinition<br />
Alle Risiken, die sich den Liquiditätsrisiken,<br />
Marktpreisrisiken, Adressenrisiken sowie den<br />
operationellen Risiken nicht bzw. nicht eindeutig<br />
zuordnen lassen, stellen so genannte sonstige<br />
Risiken dar. Sie finden ihre Ausprägung als<br />
strategische Risiken.<br />
I Organe und Ausschüsse I Beiräte I Lagebericht I Jahresabschluss I Anhang I Bestätigungsvermerk des Abschlussprüfers I<br />
I Bericht des Verwaltungsrates I Standorte, Tochterunternehmen und Stiftungen I