Stadtsparkasse Düsseldorf | Geschäftsbericht 2017
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
LAGEBERICHT <strong>2017</strong> 83<br />
RISIKOSTEUERUNG<br />
Durch Regelung von Prozessen, Kontrollen und<br />
Kompetenzen werden Risiken vermieden bzw.<br />
vermindert. Soweit möglich und unter Kosten-/<br />
Risikobetrachtung werden Risiken versichert<br />
(Gebäude versicherung, Personalgarantieversicherung,<br />
Haftpflicht etc.). Die Übertragung auf<br />
Dritte (z. B. Aufgaben, Prozesse) im Rahmen von<br />
Outsourcing reduziert operationelle Risiken in<br />
der <strong>Stadtsparkasse</strong> <strong>Düsseldorf</strong> selbst. Jedoch tritt<br />
an diese Stelle das Risiko, dass der Outsourcing-<br />
Partner seine Leistungen in vereinbarter Form<br />
nicht erbringt. Dieses Risiko wird durch einen<br />
geregelten Outsourcing-Prozess inklusive Risikoanalyse<br />
und Bericht reduziert und überwacht.<br />
Die Leitenden der Bereiche sind für das<br />
Management der operationellen Risiken (insbesondere<br />
operationeller Risiken im Bereich von<br />
Mitarbeitenden und internen Verfahren) ihrer<br />
Organisationseinheit verantwortlich. Das Risikomanagement<br />
berichtet monatlich über eingetretene<br />
Schäden und jährlich über die periodische<br />
Risikoinventur.<br />
In der operativen Umsetzung verantwortet der<br />
Bereich Compliance notwendige Notfallkonzepte,<br />
die den Umgang mit operationellen Risiken<br />
festlegen, die in der internen Infrastruktur<br />
und durch externe Einflüsse entstehen können.<br />
Die Konzepte enthalten organisatorische und<br />
technische Regelungen, durch die eine einheitliche<br />
Vorgehensweise in einem Katastrophenfall<br />
sichergestellt wird. Des Weiteren werden die<br />
Aufgabenfelder Betriebssicherheit, Arbeitsplatzsicherheit<br />
und IT-Sicherheit im Bereich<br />
Compliance umgesetzt.<br />
Der Schutz von betrieblichen Informationen wird<br />
durch Umsetzung der Informationssicherheits-<br />
Leitlinie gewährleistet. Mit Hilfe der Informationssicherheits-Leitlinie<br />
werden die Rahmenbeding<br />
ungen für die Informationssicherheit der<br />
<strong>Stadtsparkasse</strong> <strong>Düsseldorf</strong> definiert. Die Leitlinie<br />
unterstützt die Geschäfts- und Risikostrategie<br />
der <strong>Stadtsparkasse</strong> <strong>Düsseldorf</strong>.<br />
Sie beinhaltet<br />
• die Grundsätze der Informationssicherheit,<br />
• die Ausgestaltung der Sicherheitsorganisation,<br />
• Vorgaben zur Durchsetzung der<br />
Informationssicherheits-Leitlinie und<br />
• grundsätzliche Vorgaben zur regelmäßigen<br />
Sensibilisierung der Mitarbeitenden.<br />
Die rollenbasierte Einräumung der Berechtigungen<br />
zum Zugriff auf die IT-Systeme erfolgt<br />
auf Grundlage der betrieblichen Anforderungen<br />
und unter Berücksichtigung der rechtlichen und<br />
aufsichtsrechtlichen Rahmenbedingungen.<br />
Die Schutzmechanismen der IT-Infrastruktur<br />
leiten sich aus dem Schutzbedarf der betroffenen<br />
Informationen ab.<br />
Vor ihrem erstmaligen Einsatz und bei wesentlichen<br />
Veränderungen werden IT-Systeme getestet<br />
und von fachlich sowie technisch zuständigen<br />
Mitarbeitenden abgenommen.<br />
Für kritische und essentielle Prozesse wurden<br />
Geschäftsfortführungspläne festgelegt, die den<br />
unterbrechungsfreien Geschäftsbetrieb sicherstellen.<br />
Für jede Outsourcing-Maßnahme ist ein fachlich<br />
Verantwortlicher benannt, der die Überwachung<br />
und Steuerung übernimmt. Auf dieser Basis<br />
erfolgt u. a. jährlich eine Bewertung durch den<br />
zentral verantwortlichen Outsourcing-Beauftragten.<br />
Dieser berichtet an den Vorstand.<br />
Bei den als wesentlich eingestuften Auslagerungen<br />
bestehen Risikokonzentrationen hinsichtlich<br />
des IT-Dienstleisters sowie der Wertpapierabwicklung.<br />
Diese Konzentrationen treffen auf<br />
nahezu alle Sparkassen Deutschlands zu. Zur<br />
Steuerung werden umfassende Informations-,<br />
Eskalations- und Notfallverfahren eingesetzt.<br />
Weitere Risikokonzentrationen sind derzeit nicht<br />
zu erkennen.