Agile IT-Bedrohungen erfordern ein angemessenes und wirksames Risikomanagement. Richtig implementiert haben die drei Verteidigungslinien genug Abwehrkräfte
Pascal Ritz, Geschäftsführer, Justo Unternehmensberatung GmbHEin Modell um Sie zu schützen …
Bei den Verteidigungslinien handelt es sich um eine Organisationsstruktur für das Risikomanagement. Erstmals veröffentlicht wurden die Grundüberlegungen hierzu von dem Dachverband der europäischen Revisionsinstitute (ECIIA). In der Zwischenzeit ist es aus dem Sprachgebrauch der Kreditinstitute nicht mehr wegzudenken. In den wenigsten Fällen erfolgt jedoch eine strukturierte Implementierung und Zuordnung von konkreten Rollen und Kompetenzen.
Augenscheinlich ist es sehr einfach. Die 1. Verteidigungslinie ist durch ihre operative Tätigkeit unmittelbar für die Bedrohungssituation sowie das daraus resultierende Risiko verantwortlich. Wenig verwunderlich ist es daher, wenn die dort handelnden Personen auch für die aus der Risikosteuerung bekannten Teilaspekte der Beurteilung, Steuerung und Überwachung von (IT-)Risiken verantwortlich sind.
Die zweite Verteidigungslinie legt die Leitlinien und sonstigen Rahmenbedingungen für die erste Verteidigungslinie fest. Sie führt auch Kontroll- und Überwachungshandlungen durch. Hierdurch werden die Angemessenheit und Wirksamkeit der Risikosteuerungsmaßnahmen der 1. Verteidigungsebene evaluiert.
Als unabhängige Prüfungsfunktion tritt die Interne Revision als 3. Verteidigungslinie auf. Sie stellt ohne Einbindung in die Prozesse u. a. dar, ob Risiken zutreffend evaluiert, bewertet – und sofern erforderlich – einer wirksamen Risikominimierung zugeführt wurden.
BUCHTIPP
Held/Kühn (Hrsg.): Praktikerhandbuch IT- und Informationssicherheitsbeauftragter, 2018.
Derartige Verteidigungslinien sind folglich wie Dämme oder Deichanlagen. Wenn der erste Damm bricht, sollte dieses durch den zweiten, spätestens jedoch durch den dritten Damm aufgefangen werden. Das zu schützende Hinterland ist in diesem Beispiel das Eigenkapital des Instituts, welches maximal nur mit dem kalkulierten Umfang für Verluste haften sollte.
Theoretisch somit ein gutes Konstrukt. Die Herausforderung in der Praxis besteht insbesondere aus der koordinierten und effizienten Verzahnung der Kontroll- und Überwachungstätigkeiten. Denn die zweite Verteidigungslinie ist nicht nur das Spielfeld des Informationssicherheitsbeauftragten bzw. des Business Continuity Managers. Auch der Datenschutz-, der MaRisk- und WpHG-Compliance-Beauftragte, der Geldwäschebeauftragte, die Zentrale Stelle sowie das zentrale Auslagerungsmanagement sind in der zweiten Verteidigungslinie aktiv. Unkoordiniert entstehen häufig ineffiziente Doppelarbeiten oder aber blinde Flecken auf der Kontrolllandkarte durch Irrglauben und Bereichsegoismus. Das Modell der drei Verteidigungslinien erfordert daher eine grundlegende Klärung des jeweiligen Rollenverständnisses, einer einheitlichen Vorgehensweise sowie eine regelmäßige Abstimmung.
Ein einheitlicher Standard um angemessen, wirksam und effizient zu sein …
Die unterschiedlichen Einführungszeitpunkte für die jeweiligen Funktionen der zweiten Verteidigungslinie tragen eine Mitschuld an der häufig in der Gesamtschau unkoordinierten und ineffizienten Durchführung der Kontroll- und Überwachungshandlungen. Jede aufsichtsrechtliche Funktion betrachtet das Institut aus dem eigenen Blickwinkel. Mehrfache Risikoanalysen, fehlende einheitliche Definitionen und Aufgriffsgrenzen führen zu Doppelarbeiten und unterschiedlichen Bewertungen identischer Sachverhalte.
Unter Wahrung der Unabhängigkeit der einzelnen Funktionen, dennoch gemeinschaftlich, sind eine einheitliche Gefährdungsanalyse und ein abgestimmter Kontrollplan für alle Funktionen die Lösung der Probleme. Der Kontrollplan ist nicht nur inhaltlich, sondern auch zeitlich aufeinander abzustimmen. Denn eine Extrembelastung durch die zeitgleiche Penetrierung mehrerer Überwachungsfunktionen ist einem Fachbereich im Regelfall nur schwer vermittelbar.
SEMINARTIPPS
Notfallmanagement – Anforderungen an Planung, Testing und Prüfung, 25.03.2019, Köln.Identifizierung & Prüfung von IDV, 26.03.2019, Köln.
Pflichten des ISB: Prüfungs- und Praxiserfahrungen, 07.05.2019, Frankfurt/Offenbach.
IT-Risikomanagement aktuell, 08.05.2019, Frankfurt/Offenbach.
Vorteil einer einheitlichen Risikoanalyse ist darüber hinaus, dass die unterstellten Eintrittswahrscheinlichkeiten und potenziellen Schadenpotenziale mit dem Fachbereich diskutiert werden können. Hierdurch wird die Entwicklung der Risikokultur ebenfalls positiv beeinflusst. Darüber hinaus wird die zweite Verteidigungslinie bei den Fachstellen in derartigen Situationen eher als Unterstützung und nicht als Verhinderer gesehen. Es handelt sich jedoch um mehr als um ein Instrument des Selbstmarketings zur Aufbesserung des Images der zweiten Verteidigungslinie.
Wie immer ist es auch hier eine Frage der Kommunikation. Daher sind ebenfalls eine einheitliche Berichtsstruktur, identische Begrifflichkeiten und Definitionen erforderlich. Dem Empfänger des Berichtes wird durch ein einheitliches Vorgehen die Erfassung und die darauf folgende Steuerung der Risiken deutlich einfacher gemacht.
Ist ein derartig kollektives Vorgehen mit den handelnden Personen oder durch die vorherrschende Kultur im Unternehmen (noch) nicht vereinbar, sollte es zumindest regelmäßige Abstimmungen über den jeweiligen Kontroll- und Überwachungsplan sowie eine gegenseitige Information bei wesentlichen Erkenntnissen und Feststellungen geben. Die Anforderungen an das eingesetzte Personal dürfen hierbei nicht unterschätzt werden.
Sowohl die Komplexität als auch die Veränderungsgeschwindigkeit sind hoch. Dieses stellt Herausforderungen für die aktuelle und künftige fachliche und persönliche Eignung der zweiten Verteidigungslinie dar. Einerseits ist ein Verständnis für heutige technische Lösungen sowie für die aus der Implementierung von Informationstechnik resultierenden Risiken erforderlich. Andererseits sind jedoch auch Trends, neue Technologien und technische Verfahren im Blick zu behalten. Nur so kann auf Veränderungen der Risikolage präventiv reagiert und ein angemessenes und wirksames Internes-Kontroll-System aufrechterhalten werden.
PRAXISTIPPS
- Reduzieren Sie Kommunikationsrisiken durch eine einheitliche „Sprache“.
- Definieren Sie den Begriff „Wesentlichkeit“ für Ihr Institut.
- Schaffen Sie Transparenz über evaluierte Risiken sowie die abgeleiteten Kontroll- und Überwachungshandlungen der zweiten Verteidigungslinie.
- Reduziert jede Kontrollhandlung mehr Schadenpotenzial, als sie an Aufwand produziert?
- Überdenken Sie die bisher gelebte Praxis in Bezug auf Angemessenheit, Wirksamkeit und mögliche Effizienzgewinne. Insbesondere eine einheitliche Risikoanalyse und die konsistente Ableitung abgestimmter Kontrollhandlungen heben vielfältige Synergieeffekte.
- Sorgen Sie für eine verbindliche Zuordnung von konkreten Rollen und Kompetenzen.
Beitragsnummer: 951