21.11.2005, 08:00 Uhr
Gesetze beeinflussen die IT immer stärker
IT und Information Security werden immer stärker beeinflusst durch regulatorische und gesetzliche Vorgaben der jeweiligen Jurisdiktionen, in denen ein Unternehmen tätig ist.
Mit den neuen Rahmenbedingungen von Basel II werden operationelle Risiken erfasst, gemessen und durch finanzielle Rückstellungen abgesichert. Unter operationellen Risiken versteht man jene Verlustrisiken, die auf mangelhafte oder fehlerhafte interne Prozesse und auf Risiken im Bereich von Personen oder Systemen sowie auf externe Ereignisse zurückzuführen sind. Operationelle Risiken schliessen gesetzliche Risiken ein und umfassen Folgendes:
o Kriminelle Machenschaften, die in interne und externe Täterschaft kategorisiert wird.
o Kunden, Produkte und Geschäftspraktiken: Diese Kategorie trifft die Banken direkt, da deren Geschäftspraktiken mit Kunden - oft auch unter dem Begriff «suitability» adressiert - ins Blickfeld der Regulatoren geraten. Für die Banken selbst hängt ausserordentlich viel von der Erfüllung dieser Kriterien ab, ist doch der Ruf eine Bank (Reputation) direkt vom Erfolg in der Minimierung der inhärenten Risiken in den Bereichen «suitability», Kundenverhalten und Schutz der physischen Vermögenswerte abhängig. Daneben ist auch der Schutz der logischen Vermögenswerte für eine Bank von höchster Brisanz. In den meisten Banken werden für die Aufrechterhaltung der Systeme, Netzwerke und Applikationen hohe Investitionen getätigt. Längere Geschäftsunterbrüche, kann sich heute kaum eine Bank mehr leisten.
o Transaktions-Ausführung und Prozessmanagement: Die Transparenz in den Geschäftsprozessen muss jederzeit gewährleistet sein, um den Anforderungen von BS II zu genügen. Um dieses Ziel zu erreichen, müssen die Banken über ein konsistentes Management der Prozesse verfügen.
o Fehler in den Prozessen führen in aller Regel meist direkt zu inadäquatem Verhalten gegenüber Kunden und werden damit zumindest für die betroffenen Kunden sichtbar und einklagbar.
Basel II deckt die primären Risiken eines Finanzinstitutes, wie Kredit-, Markt- und Liquiditätsrisiken nicht ab, die Absicherung dieser Rückstellungen hat jedoch einen direkten Einfluss auf den Produktepreis, den ein Finanzinstitut auf dem Markt anbietet.
o Kriminelle Machenschaften, die in interne und externe Täterschaft kategorisiert wird.
o Kunden, Produkte und Geschäftspraktiken: Diese Kategorie trifft die Banken direkt, da deren Geschäftspraktiken mit Kunden - oft auch unter dem Begriff «suitability» adressiert - ins Blickfeld der Regulatoren geraten. Für die Banken selbst hängt ausserordentlich viel von der Erfüllung dieser Kriterien ab, ist doch der Ruf eine Bank (Reputation) direkt vom Erfolg in der Minimierung der inhärenten Risiken in den Bereichen «suitability», Kundenverhalten und Schutz der physischen Vermögenswerte abhängig. Daneben ist auch der Schutz der logischen Vermögenswerte für eine Bank von höchster Brisanz. In den meisten Banken werden für die Aufrechterhaltung der Systeme, Netzwerke und Applikationen hohe Investitionen getätigt. Längere Geschäftsunterbrüche, kann sich heute kaum eine Bank mehr leisten.
o Transaktions-Ausführung und Prozessmanagement: Die Transparenz in den Geschäftsprozessen muss jederzeit gewährleistet sein, um den Anforderungen von BS II zu genügen. Um dieses Ziel zu erreichen, müssen die Banken über ein konsistentes Management der Prozesse verfügen.
o Fehler in den Prozessen führen in aller Regel meist direkt zu inadäquatem Verhalten gegenüber Kunden und werden damit zumindest für die betroffenen Kunden sichtbar und einklagbar.
Basel II deckt die primären Risiken eines Finanzinstitutes, wie Kredit-, Markt- und Liquiditätsrisiken nicht ab, die Absicherung dieser Rückstellungen hat jedoch einen direkten Einfluss auf den Produktepreis, den ein Finanzinstitut auf dem Markt anbietet.
Gesetze beeinflussen die IT immer stärker
Operationelles Rahmenwerk
Jede Firma muss ihr eigenes Bild der operationellen Risiken entwerfen und dieses dann als Prozess umsetzen. Zu bestimmen ist auch der so genannte Risiko-Appetit, gegen den die Risiken gemessen werden. Der Risiko-Appetit sagt nicht nur aus, was eine Firma an Risiken zu tragen bereit ist, sondern auch, was sie tragen kann. Insbesondere der zweite Aspekt variiert von Firma zu Firma und es ist die Aufgabe der Governance, den Risikoverlauf laufend gegen diese Messlatte zu überprüfen.
Das operationelle Rahmenwerk beinhaltet zudem die Policies, die aufzeigen, wie eine Firma die Risiken identifiziert, dokumentiert, misst, kontrolliert, überwacht, adressiert und wenn möglich mitigiert.
Der Verwaltungsrat hat die Pflicht, sich regelmässig über den Zustand des operationellen Rahmenwerkes zu informieren und wo nötig, Korrekturen an den Policies und den Prozessen einzuleiten. Die Geschäftsleitung hingegen trägt die Verantwortung für die konsistente Umsetzung des Operational Risk Framework in der ganzen Organisation. Sie hat dafür zu sorgen, dass Verfahren bestehen, um die operationellen Risiken betreffend Produkte, Prozesse und Systeme wirksam zu überwachen.
Operationelle Risiken sind in aller Regel nicht eindeutig einer Geschäftseinheit zuweisbar, sondern müssen gesamtheitlich betrachtet werden. So bewirkt beispielsweise eine Veränderung eines Geschäftsprozesses an der Kundenfront nicht nur dort eine Veränderung, sondern möglicherweise auch in nachfolgenden Bereichen wie etwa in der Abwicklung, in der Verbuchung oder in der IT.
Das operationelle Rahmenwerk beinhaltet zudem die Policies, die aufzeigen, wie eine Firma die Risiken identifiziert, dokumentiert, misst, kontrolliert, überwacht, adressiert und wenn möglich mitigiert.
Der Verwaltungsrat hat die Pflicht, sich regelmässig über den Zustand des operationellen Rahmenwerkes zu informieren und wo nötig, Korrekturen an den Policies und den Prozessen einzuleiten. Die Geschäftsleitung hingegen trägt die Verantwortung für die konsistente Umsetzung des Operational Risk Framework in der ganzen Organisation. Sie hat dafür zu sorgen, dass Verfahren bestehen, um die operationellen Risiken betreffend Produkte, Prozesse und Systeme wirksam zu überwachen.
Operationelle Risiken sind in aller Regel nicht eindeutig einer Geschäftseinheit zuweisbar, sondern müssen gesamtheitlich betrachtet werden. So bewirkt beispielsweise eine Veränderung eines Geschäftsprozesses an der Kundenfront nicht nur dort eine Veränderung, sondern möglicherweise auch in nachfolgenden Bereichen wie etwa in der Abwicklung, in der Verbuchung oder in der IT.
Gesetze beeinflussen die IT immer stärker
SOX-Forderungen
Die Vorschriften von SOX verlangen von den CEO und CFO aller an der US-Börse eingeführten Unternehmen die Zertifizierung ihrer Finanzergebnisse. Die Finanzindustrie ist zurzeit dabei, sich mit SOX 404 auseinander zu setzen. Daneben müssen aber noch eine ganze Reihe weiterer Anforderungen erfüllt werden. Für die IT von Bedeutung sind vor allem SOX Act 404 und 80x. SOX 404 verlangt, dass in den Jahresberichten der Unternehmen ein Bericht des Management betreffend der im Unternehmen institutionalisierten internen Kontrollen als Teil der finanziellen Berichterstattung enthalten ist. Derweil schreibt SOX 80 dem Unternehmen vor, Prozesse, Applikationen und Personen zu etablieren, um interne und externe Delikte mittels forensischen Mitteln zu untersuchen. SOX umfasst die bisher höchsten IT-Anforderungen an die Integrität der Transaktionen, der Geschäftshandlungen und letztlich der Bilanzen.
GLBA verlangt Datenschutz
Der Gramm Leach Bliley Act (GLBA) wurde Ende 1999 erlassen. Zusätzlich zur Reform der Bankdienstleistungsbranche schliesst der Akt auch den Datenschutz von Kunden und Konsumenten ein. Das Schwergewicht von GLBA liegt auf dem Schutz und der Integrität von Kundendaten. Kunden und Konsumenten müssen beispielsweise betreffend der Praktiken des Informationsaustauschs der Banken informiert werden. Sie haben das Recht, einem Institut den Informationsaustausch seiner Daten zu untersagen. Ein weiteres Kapitel betrifft die Schutzvorkehrungen der Daten und damit ein umfassendes Sicherheitskonzept, das beschreibt, wie die Daten gegen Verlust von Vertraulichkeit und Integrität zu schützen sind. Ein weiterer Markstein betrifft die Vorkehrung gegen das Vorspiegeln falscher Tatsachen, um über diesen Weg unrechtmässig an Kunden-informationen zu gelangen.
Im Hinblick auf die überlappenden Anforderungen dieser Regulierungen sind die Schweizer Finanzinstitute dazu übergegangen, eine globale Compliance-Architektur zu entwickeln und die diversen Projekte
zur Durchsetzung von Basel II, SOX, GLBA und anderen Regulierungen wie SAS und Patriot Act zu einem einzigen Projekt -zusammenzuziehen.
Im Hinblick auf die überlappenden Anforderungen dieser Regulierungen sind die Schweizer Finanzinstitute dazu übergegangen, eine globale Compliance-Architektur zu entwickeln und die diversen Projekte
zur Durchsetzung von Basel II, SOX, GLBA und anderen Regulierungen wie SAS und Patriot Act zu einem einzigen Projekt -zusammenzuziehen.
Gesetze beeinflussen die IT immer stärker
Einfluss der Regulative
Eine Erhebung der «Banking Technology» hat ergeben, dass nur eine Minderheit der CIO aktiv in Basel II- oder SOX-Projekte involviert ist. Die Mehrheit meint, dass diese Projekte ausschliesslich eine Compliance-Angelegenheit seien. Diese Einstellung ist nicht nur gefährlich und unangebracht, sie könnte viele Projekte in die falsche Richtung führen.
Die Umfrage der «Banking Technology» ist demzufolge als gefährliches Zeichen der Ignoranz zu werten.
Insbesondere die Anforderungen an den IT-Betrieb sind bezüglich der abzuarbeitenden Prozesse und deren Integrität sehr hoch und übersteigen das in der Regel bisher gesehene Mass bei weitem. Es genügt heute nicht mehr, Prozesse zu etablieren, sondern es muss be-wiesen werden, dass sie ohne Störungen ablaufen. Betroffen ist auch die Projekt-Entwicklung, die sich neuerdings den Anforderungen des operationellen Rahmenwerkes zu stellen hat. Sie muss aufzeigen, dass die Geschäftsprozesse sauber und ohne integritätsverletzende Eingriffe von innen und von aussen durchgelaufen sind und damit das finanzielle Ergebnis korrekt ist. Die Korrelation von einzelnen Ereignissen zu den ausgewiesenen Geschäftszahlen ist eine weitere Auflage, die nicht so einfach zu erfüllen ist. Höhere Anforderungen werden auch an den Nachvollzug von Geschäftsprozessen und an das Monitoring der Kundenangebote gestellt. Letzteres muss stets den Kriterien der Zumutbarkeit aus Sicht des Kunden genügen, wobei die Beweislast beim Anbieter der Leistung liegt.
Es ist heute noch nicht in allen Facetten klar, wie weitreichend die Konsequenzen der Regulative Basel II, SOX, sein werden. Dies wird die Praxis erst nach und nach aufzeigen.
Die Umfrage der «Banking Technology» ist demzufolge als gefährliches Zeichen der Ignoranz zu werten.
Insbesondere die Anforderungen an den IT-Betrieb sind bezüglich der abzuarbeitenden Prozesse und deren Integrität sehr hoch und übersteigen das in der Regel bisher gesehene Mass bei weitem. Es genügt heute nicht mehr, Prozesse zu etablieren, sondern es muss be-wiesen werden, dass sie ohne Störungen ablaufen. Betroffen ist auch die Projekt-Entwicklung, die sich neuerdings den Anforderungen des operationellen Rahmenwerkes zu stellen hat. Sie muss aufzeigen, dass die Geschäftsprozesse sauber und ohne integritätsverletzende Eingriffe von innen und von aussen durchgelaufen sind und damit das finanzielle Ergebnis korrekt ist. Die Korrelation von einzelnen Ereignissen zu den ausgewiesenen Geschäftszahlen ist eine weitere Auflage, die nicht so einfach zu erfüllen ist. Höhere Anforderungen werden auch an den Nachvollzug von Geschäftsprozessen und an das Monitoring der Kundenangebote gestellt. Letzteres muss stets den Kriterien der Zumutbarkeit aus Sicht des Kunden genügen, wobei die Beweislast beim Anbieter der Leistung liegt.
Es ist heute noch nicht in allen Facetten klar, wie weitreichend die Konsequenzen der Regulative Basel II, SOX, sein werden. Dies wird die Praxis erst nach und nach aufzeigen.
Der Autor:
Thomas Kohler ist Vorstandsmitglied der SI-fgsec/ISSS.
Thomas Kohler ist Vorstandsmitglied der SI-fgsec/ISSS.
Thomas Kohler