Payment- und Banking-Produkte und -Services unterliegen nicht selten strengen Compliance-Vorgaben. Umso wichtiger ist ein adäquates IT Compliance-, IT Governance- und IT Risikomanagement. Klingt trocken und schwerfällig? Dass muss es nicht sein, wie IT-Experte Thilo Rottach in seinem Gastbeitrag erklärt. Über die größten Herausforderungen in der IT Compliance, Best Practices und wie man einen effizienten Nutzen für alle Beteiligte erzielen kann.
Warum ein Artikel über Themen, mit denen sich so viele IT-ler nicht gerne beschäftigen?
Für Payment und Banking Services gelten viele sogenannte Compliance Anforderungen. Schnell führen diese zu Anforderungen an Governance und Risikomanagement für IT Systeme und Anwendungsentwicklung.
Wir alle in dieser Branche wissen also, dass wir an vielen Stellen für Payment und Banking Services Compliance gewährleisten müssen. Die Materie ist aber auf den ersten Blick sehr trocken. Und das, was durch Verantwortliche aus den Anforderungen als Vorgaben in Form von Texten, Prozessen, Organisation und Regeln gemacht wird, ist oft nicht gut gemacht, komplex oder sogar die viel gescholtene „Schrank-Ware“, im schlechtesten Fall noch sehr aufwendig und blockierend.
Liegt dies aber in der Natur der Sache – oder geht es auch anders? Und welche echten Mehrwerte kann man aus IT Compliance-, IT Governance- und IT Risikomanagement (oft angeordnet zu: „IT GRC“) für sich selbst und sein Unternehmen stattdessen ziehen, wenn man vorurteilsfrei und geschickt agiert?
Von Best Practices, Common Pitfalls und Standards
Ich möchte mit einer Analogie starten. Wenn wir volljährig werden und irgendwann nach unserer Ausbildung auch beginnen, Geld zu verdienen, müssen oder zumindest sollten wir uns sukzessive mit den ebenfalls „trockenen“ Themen der Absicherung und Geldanlage beschäftigen. Kranken- und Kfz-Versicherung sind sogar ein Muss, in manchen Bundesländern auch eine Tierhaftpflicht und für manche Berufe eine Berufshaftpflicht.
Andere Versicherungstypen und alle Geldanlageformen sind natürlich nicht verpflichtend, aber oft sinnvoll. Zusammen mit dem Wissen um die Renten- und Sozialversicherungssysteme sowie die Handhabung von Kontentypen und Zahlungsinstrumenten und einem Überblick über alle anderen Haushalts- und Alltagskosten ergibt das im besten Fall eine sogenannte „Financial Literacy“.
Beschäftigung oft als negativ behaftet empfunden
Doch diese erlangt bei Weitem nicht jeder bzw. viele nicht in ausreichendem Umfang, auch nicht im reiferen Erwachsenenleben. „Financial Illiteracy“ ist dementsprechend ein häufiger Grund, warum Menschen abhängig oder in schwierige Lebenssituationen geraten. Da zumindest die für den Normalgebrauch wichtigsten Versicherungs- und Finanz-Services vom Modell her nicht wirklich schwer zu verstehen sind, muss es auch hier andere Gründe geben, die dazu führen, dass die Beschäftigung mit diesen Themen oft mit negativen Gefühlen verbunden ist.
Die Analogie liegt glaube ich sowohl in der „Trockenheit“ der auch hier zugrunde liegenden Dokumentation der Versicherungs- und Bankprodukte als auch darin, dass wir in unserer Ausbildung zu wenig oder sogar gar nichts erfahren, was für diese „Financial Literacy“ wichtig und effizient wäre. Ebenso ist es bestellt für das Know-how und die „Literacy“ zu Datenschutz, Risikomanagement, Informationssicherheit, Software Engineering, Anwendungsbetrieb, Geldwäsche, typischen Qualitätsproblemen in der IT usw.
Wenn wir aber akzeptieren, dass es all diese „Standard“-Anforderungen und deren Best Practices für IT Compliance gibt, da es eben bestimmte häufige Bedarfe und Probleme gab – dann erkennt man das gleiche Prinzip.
Viele der IT Compliance Anforderungen sind prinzipien- und nicht strikt regelorientiert sowie adaptiv handhabbar nach Risikogesichtspunkten. D.h. zwar ist die Compliance zu gesetzlichen und vertraglichen Anforderungen ein Muss – aber die Art und Weise der Umsetzung und überhaupt der Anwendung als Muss, Soll oder Kann Anforderung an die Bestandteile des eigenen Leistungsportfolios müssen und dürfen ebenso geschickt geschehen, wie die Auswahl und der Aufbau des eigenen Portfolios an Versicherungs- und Finanzprodukten.
„Viele der IT Compliance Anforderungen sind prinzipien- und nicht strikt regelorientiert.“
Daher liegen in den geschickten Umsetzungen von IT Compliance, Risk und Governance Anforderungen so viele Effizienz- oder aber auch Ineffizienzpotenziale. Und wie gut ausgewählte und zu uns passende Versicherungs- oder Bankprodukte, können sie uns auch beruhigen, absichern und voranbringen.
Was bedeutet IT Compliance?
Nach dieser vielleicht noch zu abstrakten Motivation können die konkreten Beispiele helfen.
In Deutschland betreffen uns in der IT regelmäßig mindestens die Compliance Anforderungen Datenschutz (DSGVO = Datenschutz Grundverordnung bzw. BDSG = Bundesdatenschutzgesetz) und Informationssicherheit (z.B. BSI = Bundesamt für Informationssicherheit, IT Grundschutz).
Wenn wir in der Finanz- und Payment-Domäne unterwegs sind, können es noch viele hierfür spezifische Compliance Anforderungen zusätzlich werden: Kreditwesengesetz (KWG) bzw. MaRisk (Mindestanforderungen der Bankenaufsicht an das Risikomanagement) bzw. BAIT (Anforderungen der Bankenaufsicht an die IT). Je nachdem, ob wir ein Finanzinstitut oder ein Dienstleister oder Produkthersteller für ein solches sind und welche Art von Service mit welchem Risikogehalt wir erbringen, ziehen diese vorher genannten „Regularien“ weitere nach sich wie z.B. Business Continuity Management (BCM), allgemeines Risikomanagement, Internes Kontrollsystem, Gewährung von Audit- und Prüfrechten, Zahlungsdiensteaufsichtsgesetz (ZAG), Geldwäschegesetz (GWG), PCI-DSS (Payment Card Industry – Data Security Standard) etc.
Compliance Management heißt, Anforderungen effizient umzusetzen
Andere Domänen, Systeme und Unternehmenskontexte können Compliance Anforderungen zu GoBD (Grundsätze ordnungsgemäßer Buchführung und Datenzugriff) oder ausländischen Compliance Anforderungen wie HIPAA (US Health Insurance Portability and Accountability Act) oder FATCA (Foreign Account Tax Compliance Act) etc. nach sich ziehen.
Compliance Management bedeutet, all diese Anforderungen nicht nur zu unterschreiben, sondern auch zu verstehen und sinnvoll und effizient umzusetzen. Intelligent konstruierte IT GRC Systeme bauen sich aus minimalistischen und standardisierten best-practice Bausteinen auf und bedienen auf diese Art und Weise mit den immer gleichen Umsetzungen alle verschiedenen gesetzlichen und vertraglichen Anforderungen.
Was haben IT Governance und Risk Management mit IT Compliance zu tun?
Der Begriff „Governance“ wird von Managern gerne unscharf und für alles Mögliche verwendet. Governance bezeichnet aber immer ein Steuerungssystem für Aufbau- und Ablauforganisation. Übertragen auf IT kann das bedeuten, eine angemessene IT-Strategie und Architektur zu definieren und stringent zu operationalisieren, oder aber die IT-Aufbauorganisation und die IT-Prozesse passend zu den Anforderungen zu gestalten.
Der gerne schwammig verwendete Begriff wird plastisch, wenn man sich darunter ein Organigramm oder modernes Dynamogramm, Rollen- und Prozessbeschreibungen sowie IT Richtlinien und allgemeine Guidelines / Prinzipien zu Themen wie Datenschutz, mobilem Arbeiten, Anwendungsentwicklung und Test, Betrieb etc. vorstellt.
Die „IT Governance“ wird durch viele der komplexeren IT Compliance Anforderungen getriggert (z.B. KWG / MaRisk / BAIT). Ebenso werden die Methoden und Elemente des „IT Risikomanagement“ in unterschiedlicher Art und Weise durch IT Compliance Anforderungen eingefordert (z.B. Risikoanalysen, Business Continuity Management für IT Betrieb). Die „Informations- oder „IT-Sicherheit“ ist nur eine Untermenge aller möglichen IT Risiken. Zum Beispiel gibt es für Banken auch die Anforderungen, Projektrisiken, Personalrisiken oder Auslagerungsrisiken zu bewerten und zu managen.
Wie kann nicht nur Compliance, sondern für alle spürbare Nutzenstiftung durch IT GRC entstehen?
Da Compliance Anforderungen nun einmal da sind und daher umgesetzt werden müssen, können prinzipiell gute IT GRC Artefakt-, Methoden- und Tool-Baukästen ebenso ein Wettbewerbsvorteil sein, wie schlechte Umsetzungen zu einem massiven Wettbewerbsnachteil durch Zusatzaufwände, schlechtere Time-to-Market oder sogar völlige Verhinderung von Umsetzungen werden können.
Gute und valide Umsetzungen sichern die Jobs der verantwortlichen Manager, die oft auch persönlich haftend sind. IT Security bzw. Informationssicherheitsmanagement wirklich zu beherrschen – dort wo es aus Risikoerwägungen notwendig ist – ist mittlerweile ein akzeptierter Top-Skill. Dies reicht vom sogenannten „Secure Computer User“, d.h. einem sicherheitssensiblen IT-Endanwender bis zu Requirements Engineers, Architekten, Software-Entwicklern, Testern und Operators, die einen „Secure Software Development Lifecycle“ sowie sicheren Betrieb praktizieren können.
Die aktuelle COVID-19 Pandemie hat gezeigt, dass Unternehmen im Vorteil waren, die über ein „Business Continuity Management System“ mit einem Notfallplan verfügten, der Remote Arbeit oder irgendeine andere Art der ausreichenden Aufrechterhaltung der zu priorisierenden Services bereits vorbereitet hatte.
Ein „internes Kontrollsystem“ besteht unter anderem aus Prozessen und dort platzierten Prozesskontrollen. Sind Prozesse und/oder Kontrollen ungeschickt designed, kann man Mitarbeitermotivation und Arbeitseffizienz vernichten – umgekehrt kann man aber auch wirklich Qualität heben und Fehlerraten erniedrigen und so Geld verdienen und Zeit sparen, wenn man es intelligent und gut macht.
„Sind Prozesse und/oder Kontrollen ungeschickt designed, kann man Mitarbeitermotivation und Arbeitseffizienz vernichten.“
Die bedeutet für alle Bestandteile eines IT GRC Systems lassen sich gute und schlechte Beispiele in der IT- und Unternehmenspraxis finden. Oft werden die schlechten Erfahrungen und Beispiele angeführt, über die guten wird wahrscheinlich zu wenig gesprochen.
Und nicht zuletzt: auch wenn es in Unternehmen X oder Y schlecht implementiert sein mag – mindestens für das eigene Profil als Praktiker in Payment und Banking ist es ein wertvoller Pluspunkt, wenn man die entsprechenden Anforderungen und Umsetzungsmöglichkeiten wirklich kennt und gestalten kann.
Vermutlich erinnert sich jeder von uns an Meetings und Projekte, in denen die Analyse und Bearbeitung von Compliance Anforderungen zu wesentlichen Komplexitäten, Aufwänden und Terminverzögerungen geführt hat, die mit besserem Wissen so nicht hätten sein müssen.
Zum Autor:
Thilo Rottach verantwortet die technische Führungsposition und professionelle technische Delivery innerhalb des IT-Dienstleistungs-unternehmens adorsys.
adorsys ist spezialisiert auf die digitale Transformation von Unternehmen aus dem Finanzsektor. Im Fokus von Thilo’s Arbeit steht das Projektportfolio-management, Architekturen, Technologien, Partnermanagement, Governance, Risk und Compliance.
Der gelernte Diplom-Informatiker blickt zurück auf über 25 Jahre in Führungspositionen und Projekten angefangen von Startup-Projekten über Smart Sourcing, klassischen Migrationsprojekte, Architektur- und Digitalisierungsstrategien, IT- und Prozessorganisation bis hin zu Agile-in-the-Large-Transformationen. Privat genießt Thilo kulturelle Vielfalt und eine gute Work-Life-Balance, um Outdoor-Sport zu betreiben.