Glossar

zum Schwerpunktthema Compliance & Risk Management

Information:
Glossar zu HMD 263, erschienen im Oktober 2008.
Zurück zur Glossarübersicht

B

Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin)
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) beaufsichtigt und kontrolliert alle Bereiche des Finanzwesens in Deutschland (Allfinanzaufsicht). Sie untersteht der Rechts- und Fachaufsicht des Bundesministeriums der Finanzen (www.bafin.de). (HMD 263)

C

Compliance
Unter Compliance wird die Einhaltung gesetzlicher und aufsichtsrechtlicher Regelwerke oder auch freiwilliger Kodizes verstanden. Beispiele für solche regulatorischen Anforderungen sind Basel II, GDPdU, KonTraG oder der Sarbanes-Oxley Act (SOX). Die Sicherstellung von Compliance im Allgemeinen ist eine wesentliche Aufgabe der Corporate Governance, liegt ein Bezug zur IT vor, dann auch der IT-Governance. (HMD 263)

I

Information Lifecycle Management
Information Lifecycle Management (ILM) umfasst Richtlinien, Prozesse, Praktiken und Werkzeuge, deren Zielsetzung es ist, für Informationen eine ihrem Geschäftswert angemessene und kosteneffiziente IT-Infrastruktur bereitzustellen. Wichtiger Bestandteil dieses Konzepts ist die systemübergreifende Verwaltung der Informationen von der Entstehung bis zu der Vernichtung. Die Zuordnung des Geschäftswerts und der geeigneten Infrastruktur erfolgt auf Basis eines Regelwerks, das sich aus Compliance-Anforderungen, unternehmensinternen Richtlinien und Bedürfnissen der Anwender ableitet. (HMD 263)
IT-Compliance
IT-Compliance liegt vor, wenn alle für die IT des Unternehmens verbindlich vorgegebenen bzw. als verbindlich akzeptierten Regelwerke nachweislich eingehalten werden. Bei den Regelwer-ken kann es sich handeln um:
  1. allgemein geltende rechtliche Vorgaben (d.h. Rechtsnormen, Rechtsprechung und Verwaltungsvorschriften sowie hierin jeweils in Bezug genommene sonstige Regelwerke)
  2. Verträge (mit Kunden, Lieferanten, Dienstleistern etc.)
  3. sonstige unternehmensexterne Regelwerke (Normen, Standards etc.)
  4. unternehmensinterne Regelwerke (interne Richtlinien, Verfahrensanweisungen etc.)
IT-Compliance stellt als Teilbereich der IT-Governance eine fachliche Spezialisierung der Corporate Compliance dar. Ein IT-Compliance-Management hat die Minimierung von Compliance-Risiken zum Ziel und bedarf somit der engen Kooperation mit dem IT-Risikomanagement. (HMD 263)
IT-Governance
Unter Governance werden Grundsätze, Verfahren und Maßnahmen zusammengefasst, die zur Unterstützung und Durchsetzung der Unternehmensziele und -strategien beitragen sollen. Als integraler Teil der Unternehmensführung und abgeleitet aus der Corporate Governance strebt IT-Governance nach einer Ausrichtung der IT auf die Geschäftstätigkeit (IT-(Business-)Alignment), einem verantwortungsvollen Umgang mit IT-Ressourcen und den damit verbundenen Risiken sowie dem Erkennen und Nutzen von IT-inhärenten Wettbewerbsvorteilen. Sofern IT direkt betroffen ist oder auch nur mittelbar dazu beiträgt, gehört auch die Sicherstellung von Compliance in den Bereich der IT-Governance. IT-Governance ist also das Regelwerk, das das Zusammenspiel von IT-Demand und IT-Supply in einer Organisation regelt. Sie legt fest, wer welche IT-Leistungen anbieten und erstellen darf und wer welche IT-Leistungen nachfragen und abnehmen darf. Mit CobiT (Control Objectives for Information and Related Technology) liegt ein bekanntes Referenzmodell vor, das die Umsetzung von IT-Governance in Organisationen unterstützen soll. Verantwortlich für die Umsetzung der IT-Governance ist der CIO. (HMD 263)

K

Kreditwesengesetz (KWG)
Das Kreditwesengesetz (KWG) ist das Deutsche Gesetz über das Kreditwesen. Es gilt für Kreditinstitute und Finanzdienstleistungsinstitute. Hauptzwecke des KWG sind die Sicherung und Erhaltung der Funktionsfähigkeit der Kreditwirtschaft und der Schutz der Gläubiger von Kreditinstituten vor Verlust ihrer Einlagen. § 25a umfasst organisatorische Pflichten der Kreditinstitute, u.a. werden dort Pflichten der Kreditinstitute hinsichtlich der Informationssicherheit verankert. (HMD 263)

M

Mindestanforderungen an das Risikomanagement (MaRisk)
MaRisk der BaFin dient als Leitfaden für das Stufenmodell des "Supervisory Review Process" der zweiten Säule von Basel II. Im operativen Betrieb werden sie als Konkretisierung des § 25a des KWG betrachtet. Unmittelbaren Bezug zur IT-Sicherheit haben die Teile AT 7.2 Technisch-organisatorische Ausstattung und AT 7.3 Notfallkonzept. MaRisk sind der zentrale Baustein für die qualitative, prinzipienorientierte Bankenaufsicht und -regulierung in Deutschland. Sie gelten für Kreditinstitute; für die "kleineren" Kreditinstitute (Höhe des Kreditrahmens = 100 Mio. Euro) gelten Öffnungsklauseln, die ihnen Gestaltungsspielräume für individuelle Umsatzlösungen einräumen. (HMD 263)

R

Revisionssicherheit
Im Rahmen der Revisionssicherheit wird sichergestellt, dass unternehmenskritische Daten im Nachhinein nicht mehr manipuliert oder überschrieben werden können. Gesetzlich ist dieses Gebot u.a im § 146 der Abgabenordnung geregelt; dort heißt es im Absatz 4: "Eine Buchung oder eine Aufzeichnung darf nicht in einer Weise verändert werden, dass der ursprüngliche Inhalt nicht mehr feststellbar ist. Auch solche Veränderungen dürfen nicht vorgenommen werden, deren Beschaffenheit es ungewiss lässt, ob sie ursprünglich oder erst später gemacht worden sind." (HMD 263)
Risk Management/Risikomanagement
Risikomanagement (RM) richtet sich als Teilbereich der Managementverantwortung auf die mit vergangenen, gegenwärtigen und künftigen Aktivitäten des Unternehmens verbundenen Risiken, die es zu vermeiden oder zu minimieren gilt. Die Wahrnehmung von RM prägt sich in der Einrichtung eines Risikomanagementsystems aus, dessen Kern gewöhnlich der RM-Prozess bildet. Dieser wird in einzelne funktionale Phasen gegliedert, wie Risikoidentifikation, bewertung, behandlung, überwachung und Risikoreporting. Für ein vollständiges Risikomanagementsystem müssen weitere Elemente berücksichtigt werden, vor allem risikoorientierte Managementprinzipien (Risikostrategie bzw. politik, Richtlinien etc.), eine Risikomanagementorganisation, definierte Verfahren und Instrumente des Risikomanagements sowie die Risikokultur des Unternehmens. (HMD 263)

S

Sarbanes-Oxley Act (SOX)
SOX ist ein auf das Jahr 2002 datiertes US-Bundesgesetz. Er gilt für die amerikanischen und ausländischen Unternehmen (und deren Tochterunternehmen), deren Wertpapiere in den USA angeboten werden. Das Ziel des Gesetzes ist es, das Vertrauen der Anleger in die Verlässlichkeit der Finanzberichterstattung der Unternehmen wieder herzustellen. Zwischen den zahlreichen Paragraphen des Gesetzes erlangte die sogenannte "Section 404" besondere Aufmerksamkeit. Darin sind Vorgaben zur Beurteilung und Bewertung von Wirksamkeit des internen Kontrollsystems (IKS) enthalten. (HMD 263)

Z

Zugriffskontrolle
Die Zugriffskontrolle regelt den Anwenderzugriff auf die IT-Infrastruktur im Allgemeinen und im Speziellen auf Daten und Funktionen innerhalb von Informationssystemen. Sie dient dazu, die Integrität, Vertraulichkeit und Verfügbarkeit von Daten und Informationen sicherzustellen. In vielen Informationssystemen steht ein feingranulares Zugriffsrechtesystem zur Verfügung, sodass sich auch komplexe organisationale Strukturen abbilden lassen. Gängige Mechanismen im Rahmen der Zugriffskontrolle sind die rollenbasierte Rechtevergabe und die Definition sogenannter Zugriffskontrolllisten (Access Control Lists, ACL). Eine große Herausforderung besteht darin, die Zugriffsrechte einzelner Anwender über die Grenzen von Informationssystemen hinweg konsistent zu halten. (HMD 263)
HMD Best Paper Award 2011
Bestellen Sie ein Probeabo!
Bestellen Sie Ihr kostenloses Probeheft von IT-Governance!