Ich bin mir bewusst, dass dieser Beitrag in gewissem Masse als Widerspruch zu meinem ersten Beitrag empfunden werden kann. Aber es ist so, dass der erste Beitrag die Theorie, so wie es sein sollte, wiedergibt. Und in diesem vorliegenden Text widme ich mich Erfahrungen aus der Praxis.Feststellung
Wo es theoretisch zwischen Compliance und der IT starke Synergien gibt, stellen sich diese in der Praxis doch nicht selten als Paradoxa heraus. Irgendwie wird da bei Projekten nicht immer alles so ganzheitlich und adäquat betrachtet. Doch alles der Reihe nach.
Von IT-Security zu IT-Compliance
Der Begriff IT-Compliance ist ein eher jüngerer Begriff und so scheint mir, im Deutschsprachigen Raum mehr vertreten zu sein als im Englischen. So gibt auf Deutsch mehr Treffer bei Google und bei Wikipedia gibt es im Englischen dafür (noch) keine eigene Seite. Auf der Deutschsprachigen schon. IT-Security ist hingegen ein „gestandener“ Begriff und umfasst im Wesentlichen die Attribute: Sicherstellung von Vertraulichkeit, Verfügbarkeit und Integrität. IT-Security war für die IT schon immer ein zentrales Element. Und aus dieser IT-Security wuchs auch mein Verdacht, dass es da Synergien zur rein fachlichen Compliance gibt. IT-Security ist eine Untermenge von IT-Compliance. Vereinfacht gesagt ist IT-Compliance IT-Security, erweitert um die Aspekte: Datenaufbewahrungsrichtlinien und Datenschutz, gemeint nach Datenschutzgesetz DSG. Während in der IT-Security der Administrator noch weitgehend alles machen kann, geht dies bei IT-Compliance nicht mehr, da es Datenschutzgesetze gibt, die auch für den Administrator ihre Gültigkeit haben. Soweit zu den Begriffen.
Fach- oder Business-Compliance versus IT-Compliance?
Als Fach- oder Business-Compliance verstehe ich die klassische Compliance, wo es um die Regulatorien geht, welche das Business selber betreffen. Bei Banken sind dies Themen wie Geldwäscherei und Sorgfaltspflicht, Börsenrecht (Meldepflichten, Insiderhandel, Marktmanipulation u.a.), Vertragsrecht, Risikokontrolle etc. etc.
Meine These, dass die Synergie zwischen Fach- und IT-Compliance in der Praxis ein Paradoxon ist, kommt von der Feststellung, dass gerade auch bei der technischen Umsetzung von Anforderungen aus der Fach-Compliance, Grundsätze und Regeln der IT-Compliance, genauer der IT-Security, übersehen, ignoriert oder missachtet werden.
Lieber eine einfache Reportingschnittstelle für ein Management-Reproting-Tool, ohne Authentifizierung und Autorisierung, als eine optimale Datensicherheit und Gewährleistung der Integrität.
Fallbeispiel 1: Verbesserte Risikoaufklärung zu Lasten der Datensicherheit
Die Risikoaufklärung der Kunden soll im Zuge der negativen Erfahrungen aus der jüngsten Finanzkrise verbessert werden. Insbesondere bei der Beratung ausserhalb der Bank, soll diese verbessert werden. Dazu werden die betroffenen Kundenberater mit neuen mobilen Geräten mit grossem Display ausgestattet. Über diese (unsicheren) Geräte haben diese Mitarbeiter nun die Möglichkeit, interne Dokumente und Informationen über Finanzprodukte zu beziehen und dem Kunden zu präsentieren. Dieser kann auch gleich sein Einverständnis „schriftlich“ über diese mobilen Geräte geben. Aus Sicht Fach-Compliance ist diese Umsetzung zu begrüssen, wird der Kunde doch besser und vor allem aktueller über Risiken informiert und gibt auch gleich schriftlich zu Protokoll, dass er darüber aufgeklärt worden ist. Leider aber sind gerade solche mobile Geräte alles andere als sicher. Sowohl für den Kunden wie auch für die Bank treten durch diese Umsetzung neue operationelle Risiken (ORM) auf. Kein IT-Security-Officer würde wohl sein Wort geben, dass diese Lösung als sicher und ohne Risiken einzustufen ist.
Fallbeispiel 2: Verbesserte Datenqualität zu Lasten der Datenintegrität
Ein neuer Fach-Compliance-Prozess soll die Datenqualität von Kundeneingaben erhöhen. Adressänderungen und Versandinstruktionen, welche über das E-Banking vom Kunden erfasst werden, sollen nicht mehr mit einem STP-Prozess (Straight Through Processing) direkt ins System übernommen werden, sondern vorerst von einem Mitarbeiter geprüft und allenfalls korrigiert werden. Dieser Schritt kann richtig implementiert durchaus sinnvoll sein. Wird die Eingabe des Kunden als solche aber nicht unverändert ins System übernommen und die Änderung eines Mitarbeiters als Änderung eingetragen, so ist die Datenintegrität nicht mehr gewährleistet, wenn aus dem System der Eindruck entsteht, der Kunde habe die Adresse oder Versandinstruktionen so erfasst. Was nach einer Änderungen durch einen Mitarbeiter nicht mehr der Fall ist.
Lösungsansätze
Um diesem Paradoxon zu entgehen, braucht es auf verschiedenen Stufen Mitarbeiter die mitdenken und Compliance ganzheitlich betrachten. Eine ungenügende IT-Security schlägt früher oder später zurück. Fach-Compliance-Anforderungen müssen im Einklang mit IT-Compliance umgesetzt werden. Eine Bevorzugung von Fach-Compliance gegenüber IT-Compliance kann verheerend sein. Umgekehrt ist es natürlich auch an den IT-Verantwortlichen, nicht alle fachlichen Anforderungen unter dem Mantel von IT-Security zu blockieren. Nur mit gegenseitigem Respekt und Beachtung lassen sich die theoretischen Synergien erreichen.
In diesem Spannungsfeld kann ein weit- und umsichtiger Compliance Officer eine wichtige Rolle einnehmen und zu ganzheitlich korrekt umgesetzten Lösungen beitragen.
Keine Kommentare:
Kommentar veröffentlichen