Aufrufe
vor 5 Jahren

die bank 03 // 2018

  • Text
  • Banken
  • Korruption
  • Unternehmen
  • Anforderungen
  • Compliance
  • Marisk
  • Regulierung
  • Insbesondere
  • Bcbs
  • Baseler
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

SCHWERPUNKT COMPLIANCE

SCHWERPUNKT COMPLIANCE BAIT & INFORMATIONSSICHERHEITSBEAUFTRAGTER Aufgabenteilung & Begrifflichkeiten bei der Umsetzung Seit dem 6. November 2017 gelten die Bankaufsichtlichen Anforderungen an die IT (BAIT). Informationssicherheitsbeauftragte begegnen bei der konkreten Umsetzung zusammen mit der IT einigen typischen Missverständnissen und Unschärfen, die die Implementierung der „konkretisierenden“ BAIT enorm behindern und verzögern können. Der folgende Beitrag bietet Hilfestellungen und Visualisierungen an, um diese Missverständnisse von vornherein vermeiden zu können. Zu Beginn steht eine Erklärung der Informations-Sicherheit: Sie ist nur eine Teilmenge der Sicherheit und hat allgemein den Schutz von Informationen zum Ziel. Dabei können Informationen auf Papier, in Rechnern oder auch in Köpfen gespeichert sein. Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität der Daten werden sichergestellt. IT-Sicherheit hingegen beschäftigt sich in erster Linie mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung. Gerade bei der Unterscheidung von Sicherungsmaßnahmen, Kontrollen und Prüfungen ist die klare Trennung der Begriffe nur selten gegeben. Die Übergänge sind fließend. Oft genug ist etwa schon im Deutschen in bezeichneten Kontrollhandlungen sprachlich der Begriff „Prüfung“ oder „Verfahren“ enthalten (z. B. Zuverlässigkeits-Prüfung, Kontroll-Verfahren etc.), ohne dass letztendlich eine Prüfung im strengen Sinn vorgenommen wird. Im englischsprachigen Raum wird der Begriff „Control“ oft für Sicherungsmaßnahmen verwendet, was zu weiterer Verwirrung führt. Im Ergebnis sucht man in vielen Bankhäusern vergeblich eine verbindliche Regelung der Begriffe, was zu zahlreichen Missverständnissen und Redundanzen führt. Gerade im Bereich der IT drohen – durch die sprachliche Nähe zum Englischen – Missverständnisse. Eine möglichst klare begriffliche Trennung und daraus folgende eindeutige Zuordnung der Handlungen zu den jeweiligen Verteidigungslinien ist zwar herausfordernd und mit sprachlichen Hürden verbunden. Gelingt diese Trennung jedoch, so ist sie für eine eindeutige Kommunikation, etwa bei der Aufgaben- und Rollenteilung, sehr hilfreich. Three Lines of Defence: Wer macht was – und was nicht? Ebenso wichtig ist das Verständnis der Abgrenzung der Tätigkeit der ersten und zweiten Verteidigungslinie. Ist auch vonseiten der Geschäftsleitung eine pragmatische, operative Informationssicherheit / IT-Security erwünscht, so gilt es dennoch zu beachten, dass bei einer zu operativen Tätigkeit Selbstprüfungsverbote bei späteren Kontrollen drohen. 1 Nicht umsonst wird in den BAIT klar formuliert: „Die Funktion des Informationssicherheitsbeauftragten ist organisatorisch und prozessual unabhängig auszugestalten, um mögliche Interessenkonflikte zu vermeiden.“ Und die Aufsicht erläutert weiter: „Die Funktion des Informationssicherheitsbeauftragten wird aufbauorganisatorisch von den Bereichen getrennt, die für den Betrieb und die Entwicklung der IT-Systeme zuständig sind.“ 2 Angesichts dieser klaren Positionierung erscheint der zum Teil vertretene Standpunkt, dass keine Trennung bis hinauf zum Vorstand angeordnet sei, als wenig erfolgversprechend. Die erforderliche Rollentrennung zwischen der ersten Verteidigungslinie („Wie ist etwas zu tun?“) und der zweiten Linie („Was ist zu tun?“) sowie der Unterscheidung zwischen Sicherungsmaßnahme, Kontrolle und Prüfung inklusive einer möglichen Definition erläutert das Schaubild. ÿ 1 Die Aufgabenteilung lässt sich auch mit einem Beispiel aus der persönlichen Erlebniswelt leicht veranschaulichen. Für den Besitzer eines Autos stellt sich der laufende Betrieb, also die Grundversorgung mit Benzin, Waschwasser oder Öl, als erste Defence-Line dar. In der zweiten Verteidigungslinie kommt die Werkstatt mit der jährlichen Inspektion auf Verschleißteile ins Spiel. Die dritte Verteidigungslinie schließlich ist der TÜV, der Funktionalität und Wirksamkeit wichtiger Bauteile mit einer Plakette bestätigt. Wie jedes Beispiel ist auch dieses vereinfacht, weshalb es nicht für alle Eventualitäten und Konstellationen in der Realität passt. Es hat sich jedoch in der Praxis bewährt, den Grundgedanken der Three Lines of Defence schnell und dauerhaft auch Kolleginnen und Kollegen zu vermitteln, die bislang noch wenig Berührungspunkte mit Regulatorik hatten. 18 03 // 2018

SCHWERPUNKT COMPLIANCE 1 | Drei Begriffe und drei Verteidigungslinien 1st Line of Defence: Risk- /Asset Ownership » integriert, laufend, vermeidend » Definition konkreter Umsetzungsanforderungen inkl. AAW » Einhaltung mittels Sicherungsmaßnahmen („controls“) inkl. Dokumentation 2nd Line of Defence: Risk Control » begleitend, unabhängig, aufdeckend, in Intervallen » Beratung zu Standards und Vorgaben » Kontrolle und Überwachung der Umsetzung 3rd Line of Defence: Risk Assurance » nachgelagert » Prüfung der Vorschriftsmäßigkeit » Prüfung des Designs und der Wirksamkeit von Sicherungsmaßnahmen und Kontrollen » Prüfung der Funktionsfähigkeit der Managementsysteme 1st 2nd 3rd Risiken Risiken Risiken Line of Defence Line of Defence Wie? IT-Service Operation IT-Integration Developement IT-Strategie & Providermanagement IT-Operations & Developement Line of Defence Line of Defence Was? Risikocontrolling Informationssicherheitsbeauftragter BCM Line of Defence Line of Defence Interne Revision Sicherungsmaßnahmen werden durch laufende, standardisierte Einrichtungen und Vorkehrungen wahrgenommen. Sie umfassen fehlervermeidende Maßnahmen, die sowohl in die Aufbau- als auch die Ablauforganisation eines Unternehmens integriert sind und ein vorgegebenes Sicherheitsniveau gewährleisten sollen. Kontrollen sind die aufdeckende Überprüfung oder Nachprüfung bestimmter Sachverhalte. Durch sie soll gewährleistet werden, dass die Vorgaben der Organisationsrichtlinien durch die Mitarbeiter beachtet werden. Sie können dem zu kontrollierenden Arbeitsgang (prozessbegleitend) vor,- gleich- oder nachgeschaltet sein. Prüfungen sind prozessunabhängige Überwachungsmaßnahmen, die (i.d.R. durch die Revision) risikoorientiert die Angemessenheit und Wirksamkeit von Verfahren und Kontrollen nachvollziehen und beurteilen. FAZIT Viele der vorstehenden Begriffe werden je nach Autor, Institut und sprachlichem Umfeld im Detail unterschiedlich interpretiert und verwendet. Daher ist es für den Informationssicherheitsbeauftragten und die IT besonders wichtig, diese klar zu unterscheiden und im Rahmen der Umsetzung der BAIT zumindest bei den Beteiligten innerhalb eines Hauses auf ein einheitliches (Selbst-) Verständnis hinzuwirken. Hierdurch werden Redundanzen, Missverständnisse und letztlich Prüfungsfeststellungen vermieden. Autor Rechtsanwalt Martin Daumann ist als Head of Compliance und Informationssicherheitsbeauftragter bei der Degussa Bank AG in Frankfurt am Main tätig. Darüber hinaus ist er Mitbegründer und Leiter des „Frankfurter Arbeitskreises Compliance und Governance“. 1 Vgl. grundlegend MaRisk BT 2.1 Tz. 1 i.V.m. AT 4.3 Tz. 1. 2 Vgl. BAIT II, 4, Tz. 19 und Erläuterungen hierzu. Die Grafik wurde vom Autor für die Arbeitssitzungen des „Frankfurter Arbeitskreises Compliance und Governance“ erstellt. Das Gremium ist ein Forum für den fachlichen Austausch über die Anforderungen der Compliance- und Governance-Themen, wie zum Beispiel MaRisk 6.0. Es besteht aus 80 Experten aus etwa 50 großen und mittelgroßen Banken aus allen drei Säulen des Bankgewerbes – eine Größenordnung, die es erlaubt, in ihrem Marktsegment Indikationen für eine Best Practice zu bilden. www.frankfurter-arbeitskreis.de 03 // 2018 19

die bank