IT Operational Risk Awareness Building in Banking Organizations


Type Research Project

Funding Bodies
  • ERSTE Bank der österreichischen Sparkassen

Duration March 26, 2013 - March 31, 2015

  • Institute for Information Management and Control IN (Details)

Tags

Press 'enter' for creating the tag
  • Bauer, Stefan (Former researcher)
  • Bernroider, Edward (Details) Project Head
  • Chudzikowski, Katharina (Details)
 

Abstract (German)

Die Bedeutung von Informationstechnologie in Banken ist in den letzen Jahren stark gestiegen. Die Arbeitsabläufe und internen Prozesse von Banken basieren auf Informationstechnologie und der Arbeitsalltag eines gewöhnlichen Bankmitarbeiters ist geprägt durch die Informationsverarbeitung. Seit der Einführung von Basel II müssen Banken operationelle Risiken professionell managen. Operationelles Risiko ist als die Gefahr von Verlusten definiert, die in Folge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder in Folge externer Ereignisse eintreten.
Das Management der operationellen Risiken ist ein sehr junges Feld und große Banken berichten jährlich von mehreren hundert Schadensfällen. Diese Schadensfälle verursachen hohe Kosten, da Banken für diese Risiken Eigenkapital hinterlegen müssen. Aus diesem Grund ist es für Banken essentiell, dass die operationalen Risiken minimiert werden, insbesondere bezüglich Informationstechnologie. Das Forschungsprojekt hat sich zum Ziel gesetzt, eine Methode zu entwickeln, die im Risiko-Management eingesetzt werden kann, um die Bewusstseinsbildung von Mitarbeitern von Banken systematisch bezüglich IT Risiken zu optimieren.

Das ambitionierte Forschungsprojekt besteht aus zwei Phasen: In der ersten Phase werden die derzeitigen Maßnahmen und Best Practices der Risiko-Bewusstseinsbildung und wesentliche Elemente des internen Kontrollsystems für verschiedene Niederlassungen interdisziplinär erhoben und analysiert. Das Ergebnis der ersten Phase soll eine Methode sein, um das Risikobewusstsein der Mitarbeiter/innen bezüglich IT Risiken durch ein Bündel von Maßnahmen und Interventionen zu verbessern. Diese Maßnahmen sollen einen innovativen Charakter haben und über mehrere Medienkanäle kommuniziert werden können. In der zweiten Phase soll diese Methode in mehreren Banken getestet werden.


Abstract (English)

The purpose of this research project is to improve banking employee risk behaviour concerning IT operational risks. Banks are confronted with an increased frequency of operational risks loss events and the extensive use of information technology in banks tightens this situation. The two-staged empirical study focuses on awareness building methods concerning IT operational risk, an effective IT risk culture and the use of internal controls in this context. In the first research stage awareness building methods and IT risk cultures of an Austrian banking group will be evaluated. The role of the internal control system and intercultural differences should be also discovered in the exploratory phase. After the first research stage, a method to build awareness of banking employees is going to be designed and developed. In the second stage, a quantitative analysis regarding the developed method of awareness building is going to take place. The findings should discover best practices of awareness building methods and guidelines to create a proactive IT risk culture which involves cultural differences between Central and Eastern Europe (CEE) economies.

Publications

Journal article

2017 Bauer, Stefan, Bernroider, Edward. 2017. From Information Security Awareness to Reasoned Compliant Action: Analyzing Information Security Policy Compliance in a Large Banking Organization. ACM SIGMIS Database. 48 (3), 44-68. (Details)
  Bauer, Stefan, Bernroider, Edward, Chudzikowski, Katharina. 2017. Prevention is Better Than Cure! Designing Information Security Awareness Programs to Overcome Users' Non-Compliance with Information Security Policies in Banks. Computers and Security 68, 145-159. open access (Details)