OPERATIONELLE RISIKEN

Jedes Unternehmen, so auch die Solarisbank AG, ist betrieblichen Risiken ausgesetzt, die durch menschliches oder technisches Versagen, aber auch durch externe Faktoren entstehen können. Die Solarisbank AG identifiziert und steuert systema-tisch operationelle Risiken, z. B. über die Nutzung der Schadensdatenbank, Durchführung von soge-nannten Risk Assessments und durch die Einfüh-rung und Überprüfung von effizienten Kontrollen und internen Prozessen.

Schadensfälle sowie potentielle Risiken werden in der Schadensfalldatenbank „Okular“ von dem Anbieter parcIT GmbH, Köln mit dokumentiert, genehmigt und entsprechend überwacht. Zusätz-lich wird einmal im Jahr ein entsprechendes Risk Control Self Assessment mit allen Abteilungen in

3. Risikobericht

Risiken die als „hoch“ oder „signifikant“ eingestuft wurden müssen verringert werden. Entsprechende Maßnahmen werden in Okular (Operational Risk Management System / Schadensfalldatenbank) festgehalten.

Im Rahmen der 2020 durchgeführten Risk Control Self Assessments (RCSA) wurden potenziell opera-tive Risiken der Solarisbank AG erfasst.

Im besonderen Fokus stehen folgende Risikoaspek-te:

Spezifisches IT-Risiko

Als Banking-as-a-Service Unternehmen und vor dem Hintergrund, dass sämtliche Bankprozesse hundertprozentig digitalisiert werden sollen und damit nur mit IT- Einsatz zu erbringen sind, steht das IT-Risiko unter den Risikobewertungsaspekten im Vordergrund. Das IT-Risiko beinhaltet sowohl Fälle von Unterbrechungen als auch völlige Syste-mausfälle im internen und im externen Bereich. Zu den Risiken zählen u. a.: Systemausfall, zu hohe Auslastung der Systeme (Netzwerkkapazität;

Netzwerklast), Verwundbarkeit von Systemen, Systemfehler die durch Änderungen verursacht wurden (z. B. nach einem Software-Releasewech-sel des Kernbankensystems), Unsicherheit des Systems aufgrund einer Änderung der Firewall, Verletzung der Sorgfaltspflicht durch verantwortli-che Mitarbeiter (Zugangs- und Genehmigungsrech-te), Informationsverlust bei Systemausfall und schlechtes IT-Architekturmanagement.

Die Maßnahmen zur Risikobegrenzung sind unter anderem:

System-Änderungen werden im Vier-Augen-Prinzip automatisiert abgenommen. Änderungen werden erst in der Testumgebung getestet und nach erfolg-reicher Abnahme auf der Produktionsumgebung eingespielt.

In 2020 wurde der Großteil der genutzten Services und Systeme in die Cloud des Providers AWS migriert dessen Dienstleistungen eine größtmögli-che Stabilität und Verfügbarkeit

Zur Überwachung der Systemauslastung hat die Solarisbank AG Metriken erstellt, die zeitnah eine entsprechende Überlastung anzeigt. Somit kann die Solarisbank AG hier entsprechende Maßnah-men durchführen, bevor es zu einem Systemausfall kommt.

Des Weiteren führt die Solarisbank tägliche Sicher-heitsüberprüfungen durch, um eventuelle

Schwachstellen rechtzeitig zu erkennen und ent-sprechende Maßnahmen durchführen zu können.

Zu den täglichen Überprüfungen kommen weitere Penetration-Tests (‚white und black-box‘) hinzu, die auf regelmäßiger Basis durchgeführt werden.

Die Solarisbank AG führt in regelmäßigen Abstän-den kleine System-Änderungen durch, sodass mögliche Fehler schnell korrigiert werden können.

Die Solarisbank AG hat ein Rechte- und Genehmi-gungssystem eingeführt, um das Risiko der Verlet-zung der Sorgfaltspflicht durch verantwortliche Mitarbeiter zu minimieren.

Weiterhin wurde ein entsprechendes Backup-Kon-zept erstellt, um den Informationsverlust bei einem Systemausfall zu minimieren.

Spezifisches Personalrisiko

Mit dem weiteren Ausbau des Geschäfts werden die Personalkapazitäten permanent aufgestockt.

Mit der zunehmenden Internationalisierung der Geschäftstätigkeit sind hier die Anforderungen an bestehende Profile und die Profile potenzieller neuer Mitarbeiter weiter gestiegen. Die fristgerech-te Akquisition von geeignefristgerech-tem Personal ist ein wesentlicher Erfolgsfaktor auf dem aktuellen Wachstumspfad.

Rechtliche Risiken

Während die Anforderungen durch Internationali-sierung bis Produktentwicklung unterschiedlich sind, bleibt die Notwendigkeit einer umfangreichen Prüfung des neuen Geschäfts neben einer sorgfäl-tigen Überwachung zur Erfüllung aller Pflichten aus bestehenden Geschäften weiter relevant.

Zusammengefasst stellen sich die allgemeinen Ziele und die Strategie der Solarisbank AG hinsicht-lich der operationellen Risiken wie folgt dar:

▪

Die Solarisbank AG betreibt alle Geschäfte und Prozesse unter der Prämisse der Einfachheit, Transparenz und Diversifikation. Der Schwer-punkt liegt auf einer offenen Kommunikation mit

▪

In bestimmten Arbeitsbereichen werden Arbeit-sprozesse getrennt und das Vier-Augen-Prinzip umgesetzt.

▪

Die Prozesse der Solarisbank AG sind klar definiert, dokumentiert und Verantwortlichen zugeordnet. Dies hilft wesentliche Prozesse zu identifizieren und die operationellen Risiken zu steuern.

▪

Die Interne Revision wird aktiv in die Überprü-fung des Internen Kontrollsystems (IKS) einge-bunden.

▪

Es werden hohe technische Standards in Bezug auf IT-Hard- und -Software und technische

▪

(Backup-)-Systeme gesetzt.

▪

Die Solarisbank AG misst dem Einsatz von Technologie einen hohen Stellenwert bei, um Abläufe möglichst automatisiert darzustellen und zumindest menschliche Fehlerquellen zu minimieren. Besonders wichtig sind dabei die kontinuierlich durchgeführten laufenden Schu-lungsmaßnahmen für alle Mitarbeiter.

▪

Alle Anpassungsprozesse für neue Produkte, Prozesse und Risiken durchlaufen ein Analyse- und Genehmigungsverfahren (‚New Risk Ap-proval‘).

▪

Alle von Dritten eingekauften Services durchlaufen eine Analyse und

Genehmi-gungsverfahren (Auslagerungs- bzw. Dienstleis-tungsanalysen).

▪

Die Solarisbank AG benutzt Indikatoren zur besseren Früherkennung von operationellen

3. Risikobericht

Aufgrund der jungen Historie der Solarisbank AG und der deshalb noch mangelnden eigenen Daten-historie wird für die Berechnung der quantitativen operationellen Risiken derzeit auf eine angepasste Anwendung des Basisindikator-Ansatzes zurückge-griffen. Zum Berichtsstichtag betrugen die operati-onellen Risiken TEUR 1.950. Die Erhöhung zum Vorjahr wird durch die allgemeine Geschäftsent-wicklung des Unternehmens und der EntGeschäftsent-wicklung der Ertrags- und Kostenentwicklung zugerechnet.

Werte in TEUR 31.12.2020 31.12.2019 Operationelle Risiken

(brutto = netto) 1.950 1.044

Im Dokument Geschäftsbericht. Solarisbank AG (Seite 36-39)