MaRisk definiert Anforderungen an IT-Systeme, Prozesse und Transparenz in Instituten. Baresto setzt diese Anforderungen vollständig um. Jede Änderung an den Daten wird gespeichert. Darüber hinaus bietet Baresto individuelle Rollen- und Berechtigungsmodelle.


Erfüllung der Mindestanforderungen des Risikomanagement (MaRisk) der BaFin

MainPageSmall_Desktop_vs_Network

Die Mindestanforderungen an das Risikomanagement (MaRisk) werden von der der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) definiert. MaRisk wurde mit einem Rundschreiben 10/2012 (BA) vom 14.12.2012 offiziell publiziert.

Die Interne Revision ist dabei wesentlicher Teil der selbstgetriebenen, unternehmerischen Überwachungsfunktion und des risikoorientierten, internen Kontrollsystems.

Bezogen auf IT-Systeme und zum Einsatz kommende Software werden im Rahmen der MaRisk zwei Kernforderungen formuliert, die es für alle Institute einzuhalten gilt.

Zum einen ist dies die absolute Transparenz über Daten, Prozesse und Systeme. Zum anderen ist es die Forderung nach einem passenden Rollen- und Berechtigungssystem, so dass Mitarbeiter nur die Rechte bekommen, die für die Ausführung ihrer Tätigkeiten notwendig sind.


Automatische Speicherung jeder Neueingabe – Veränderung – Löschung

Hinsichtlich der Forderung nach Transparenz über Daten, Prozesse und Systeme gibt es in der MaRisk den Absatz AT 4.4.3 Interne Revision in dem es unter Punkt 4 heißt “Zur Wahrnehmung ihrer Aufgaben ist der Internen Revision ein vollständiges und uneingeschränktes Informationsrecht einzuräumen. Dieses Recht ist jederzeit zu gewährleisten. Der Internen Revision sind insoweit unverzüglich die erforderlichen Informationen zu erteilen, die notwendigen Unterlagen zur Verfügung zu stellen und Einblick in die Aktivitäten und Prozesse sowie die IT-Systeme des Instituts zu gewähren

Um den Anforderungen aus MaRisk hinsichtlich vollständiger Informationen gerecht zu werden, wurde Baresto so konzipiert, dass jederzeit ALLE Informationen zu jeder einzelnen Dateneingabe verfügbar sind.

Baresto speichert dazu automatisch jede einzelne Dateneingabe mit weiteren Hintergrundinformationen. Dabei spielt es keine Rolle ob die Zelle einer Meldung zum ersten mal befüllt wird, oder ob ein vorhandener Datensatz verändert wird. Beide Vorgänge sind eine Veränderung des aktuellen Zustands und werden von der Meldewesen Software gespeichert.

Der nachfolgende Screenshot zeigt wie Baresto am Beispiel von EBA Framework FINREP Part 4 auf dem Meldebogen Use of the Fair Value Option jede einzelne Dateneingabe speichert. Zu jeder Eingabe werden dabei die vier folgenden, wesentlichen Informationen gespeichert:

  • Systemdatum und Systemuhrzeit
  • User
  • Meldebogen mit Angabe von row (Zeile) und column (Spalte) so wie sie auch von der EBA im DPM definiert sind!
  • Durchgeführte Veränderung ggf. mit Wert vorher & Wert nachher (added / changed / deleted)

finrep_part_4_automatischeDatenspeicherung_jederEingabe

Die Eingabe eines Wertes in eine vorher leere Zellen wurde entsprechend durch den Zusatz “added” vor dem eigentlichen Wert markiert. Damit ist eindeutig, dass auf eine leere Zelle eine Befüllung stattgefunden hat.

Zur Nachverfolgung von Änderungen an bereits bestehenden Daten oder der Löschung von vorhandenen Daten verwendet die Meldewesen Software Baresto die nachfolgend gezeigte Syntax.

finrep_part_4_automatischeDatenspeicherung_jederEingabe_part2

  • der Wert 33 in Template F 41.02 Zelle r010, c010 wurde von 33 auf 22 geändert
  • der Wert 33 in Template F 41.02 Zelle r020, c010 wurde von 44 auf 55 geändert
  • der Wert 33 in Template F 41.02 Zelle r030, c010 wurde gelöscht (deleted) wobei vorher der Wert 55 vorhanden war

Im folgenden Video wird die automatische Datenspeicherung zur jeder Eingabe und die Verwaltung der Tags gezeigt.


Definition eines Rollen- und Berechtigungssystems

Im Absatz AT 7.2 Technisch-organisatorische Ausstattung von MaRisk wird seitens der BaFin unter Punkt 2 folgende Forderung definiert: … insbesondere sind Prozesse für eine angemessene IT-Berechtigungsvergabe einzurichten, die sicherstellen, dass jeder Mitarbeiter nur über die Rechte verfügt, die er für seine Tätigkeit benötigt; die Zusammenfassung von Berechtigungen in einem Rollenmodell ist möglich. …

Baresto berücksichtigt auch diese Forderung der BaFin und bietet die Festlegung eines Rollen- und Berechtigungssystems auf zwei Ebenen an.

Berechtigungen hinsichtlich von einzelnen Frameworks / Modulen / Meldebögen

Soll ein Mitarbeiter beispielsweise nur für Asset-Encumbrance zugelassen sein und ein anderer Mitarbeiter nur für Own Funds and Leverage, dann ist dies über das Rollenmodell in Baresto darstellbar. User bekommen dann nur die Module angezeigt, die sie auch bearbeiten dürfen. Die Definition des Rollenmodells erfolgt durch das Institut und bezieht sich auf alle EBA Frameworks.

Berechtigungen hinsichtlich Software-Funktionen

Es ist auch möglich Baresto userspezifisch hinsichtlich einzelner Funktionen zu begrenzen, wie zum Beispiel XBRL-Import oder XBRL-Export für den ExtraNet Upload. Nicht jeder User braucht / sollte alle Funktionen zur Verfügung haben. Insbesondere bei dezentraler Datenerhebung und Meldungsbearbeitung macht es durchaus Sinn eine zentrale Stelle für die finale Datenvalidierung, XBRL-Erstellung und den Upload zu definieren.

XBRL® Reporting Software, COREP® FINREP® Banking Reporting, Taxonomy & Validierung