(openPR) Inwieweit bilden OpRisk-Modelle die Realität der IKT-Risiken im Non Financial Risk Management richtig ab?
Cyberangriffe, Cloud-Abhängigkeiten und komplexe Dienstleisterketten verändern das operationelle Risikoprofil von Banken schneller als viele Steuerungsmodelle mithalten können. Während IKT-Risiken längst zu den größten operativen Bedrohungen zählen, werden sie in zahlreichen Instituten noch immer isoliert betrachtet – als IT-Thema statt als integraler Bestandteil des Non-Financial-Risk-Managements. Genau diese Trennung rückt zunehmend in den Fokus der Aufsicht.
In Prüfungen zeigt sich ein wiederkehrendes Muster: IKT-Risiken sind zwar dokumentiert, aber nicht konsequent quantifiziert oder in die OpRisk-Steuerung überführt. Sicherheitsvorfälle werden technisch bewertet, ohne ihre Auswirkungen auf Geschäftsprozesse, Kapitalplanung oder Risikotragfähigkeit sauber abzuleiten. Besonders kritisch wird das bei kritischen oder wichtigen Funktionen, bei Cloud-Abhängigkeiten oder komplexen Auslagerungsstrukturen. Ohne klare Überleitung in Risikoindikatoren und Reporting entsteht ein gefährlicher blinder Fleck.
Auch die Verzahnung zwischen Non-Financial-Risk-Management und Internem Kontrollsystem (IKS) bleibt häufig unzureichend. Kontrollen existieren, greifen jedoch nicht systematisch ineinander. Verantwortlichkeiten im Drei-Linien-Modell sind unscharf, Review-Zyklen uneinheitlich und Lessons Learned aus Vorfällen werden nicht konsequent in neue Bewertungen überführt. Incident-Management bleibt damit reaktiv, statt echte Steuerungsimpulse zu liefern.
Hinzu kommt die Herausforderung sinnvoller Kennzahlen. KRIs und KPIs werden oft aus technischen Messgrößen abgeleitet, ohne Bezug zum tatsächlichen Geschäftsrisiko. Warnsignale entstehen zu spät oder werden nicht eskaliert. Gleichzeitig verlangen neue regulatorische Vorgaben belastbare Klassifizierungen von IKT-Vorfällen, klare Schwellenwerte und nachvollziehbares Reporting. Viele Institute stehen hier noch am Anfang.
Das Online-Seminar „OpRisk SPEZIAL: IKT-Risiken im Aufsichts-Fokus“ am 28. April 2026 setzt genau an diesen Schwachstellen an.
Tatjana Jäger, Head of Non-Financial Risk, Risk Reporting & Validation bei der KfW IPEX-Bank, verbindet langjährige OpRisk-Praxis mit aktueller Umsetzungserfahrung. Sie zeigt, wie IKT-Risiken systematisch identifiziert, quantifiziert und in bestehende OpRisk- und NFR-Steuerungsprozesse integriert werden können.
Im Mittelpunkt stehen die Operationalisierung im Drei-Linien-Modell, die Verzahnung von NFR-Management und IKS über einen gemeinsamen Kontrollrahmen sowie die Entwicklung belastbarer Kennzahlen für Steuerung und Reporting. Auch Incident-Management, Resilienztestings und Risk-Re-Assessments werden praxisnah beleuchtet – mit konkreten Hinweisen, wie typische Schwachstellen vermieden werden können.
Die zentrale Erkenntnis: IKT-Risiken sind längst kein Spezialthema mehr, sondern ein zentraler Stabilitätsfaktor der Gesamtbanksteuerung. Institute, die OpRisk-Modelle nicht konsequent weiterentwickeln, riskieren Fehlsteuerungen genau dort, wo digitale Abhängigkeiten am größten sind. Dieses Seminar zeigt, wie aus fragmentierten Einzelmaßnahmen ein belastbares Steuerungssystem entsteht.
Weitere Informationen und Anmeldung unter:
https://www.akademie-heidelberg.de/seminar/oprisk-spezial-ikt-risiken-im-fokus-der-aufsicht
