Wesentlichkeit der Geschäftsprozesse
Wesentlichkeit der Geschäftsprozesse (im Aufsichtsrecht)
Ganz allgemein sind Geschäftsprozesse strukturierte Abläufe innerhalb der Institute, durch die definierte Ziele erreicht werden (sollen). Aufgrund dieser Zielbezogenheit bestimmt sich die Wesentlichkeit eines Geschäftsprozesses grundsätzlich anhand des Zielbeitrags, der von ihm ausgeht. Die Zielbezogenheit wiederum ist Ausprägung der Strategie des Instituts, welche langfristigen Charakter hat – die Wesentlichkeit eines Geschäftsprozesses ist somit eine – zumindest mittelfristig – zeitstabile Zustandsbeschreibung. Die Bankenaufsicht verlangt zukünftig im Zusammenhang mit der Steuerung von Auslagerungen in MaRisk AT 9 Tz. 2-Erl. (neu)1 die Berücksichtigung der Wesentlichkeit eines Geschäftsprozesses innerhalb der Prozesslandkarte. Erwartet wird demgemäß ein Ordnungsverfahren zur Klassifizierung der Geschäftsprozesse nach auf- bzw. absteigender Bedeutung.
Geschäftsprozess – Zentrales Analyseobjekt und Informationsträger
Ausgangspunkt für die Durchführung diverser Aktivitäten sämtlicher Funktionen der zweiten Verteidigungslinie in Kreditinstituten ist der Geschäftsprozess:
- Strukturanalyse und Schutzbedarfsfeststellung im Sinne des Informationssicherheitsmanagements (➔ BAIT) setzen an den Geschäftsprozessen an. So sollte zunächst die Bedeutung der einzelnen Geschäftsprozesse für das Institut sowie die Abhängigkeiten zwischen Geschäftsprozessen beleuchtet werden, bevor der Schutzbedarf bestimmt wird. Anwendungen werden im Geschäftsprozess ermittelt – der Schutzbedarf der Anwendungen ergibt sich dann aus dem Schutzbedarf der Geschäftsprozesse bzw. der mit diesen verknüpften Informationen, für deren Erledigung sie eingesetzt werden. Der
Schutzbedarf der Geschäftsprozesse und Anwendungen fließt in die Schutzbedarfsfeststellung der betroffenen Objekte (Infrastruktur), wie zum Beispiel Server und Räume, ein. - Im Notfallmanagement (Business Continuity Management) erfolgt die Bestimmung der Kritikalität im Rahmen der Business Impact Analyse auf Ebene des jeweils beleuchteten Geschäftsprozess anhand von Schadensszenarien unter Berücksichtigung der Zeitkomponente.
- Fremdbezüge bzw. Auslagerungen führen zu einer Verlagerung von Leistungs- oder Teilerstellungen nach außen. Sie wirken sich also aufgrund der Änderung von Abläufen und Aktivitäten unmittelbar auf den Geschäftsprozess und dessen Design, aber auch dessen Risiken aus.
- Das Interne Kontrollsystem (IKS) im engeren Sinne versucht durch einen systematischen Ansatz Risiken aus fehlerhaften Verhaltensweisen oder fahrlässiger Nichtbeachtung interner und/oder externer Vorschriften zu identifizieren, analysieren und steuern/reduzieren. Das Interne Kontrollsystem auf Ebene der Geschäftsprozesse adressiert hierdurch Unterkategorien des OpRisks, welche z.B. nicht durch das Informationsrisikomanagement oder flankierende aufbau- und ablauforganisatorische Maßnahmen angemessen gesteuert werden können.
Es zeigt sich, dass der Geschäftsprozess regelmäßig selbst zentrales Analyseobjekt oder aber zumindest wichtiger Träger von Informationen für
die Durchführung risikoorientierter Aktivitäten ist.
Ansätze zur Bestimmung der Prozesswesentlichkeit
Die Bestimmung der Wesentlichkeit von Geschäftsprozessen sollte entlang definierter Kriterien erfolgen. Hingegen sollte im Rahmen der Bestimmung
der Wesentlichkeit der Geschäftsprozesse eine Berücksichtigung des Risikos zunächst nicht erfolgen – dieser in diesem Fall fehlerhafte Ansatz ist
insbesondere geprägt durch die (aufsichtliche) Prüfungspraxis und der begrifflichen Verwendung im Zusammenhang mit Risiken bzw. Fehlern und
Verstößen und deren Auswirkungen. Bei der Wesentlichkeit eines Geschäftsprozesses handelt es sich um die Beschreibung der Beschaffenheit eines Prozesses, namentlich das Potenzial eines Geschäftsprozesses zu den Zielen des Instituts beizutragen. Risiko ist allgemein definiert als negative Abweichung von einem erwarteten Ergebnis bzw. angestrebten Zustand. Risiken stören aufgrund ihrer dynamischen Komponente somit Ist- bzw. erwartete Zustände. Anders formuliert: Risiken stören Geschäftsprozesse im Rahmen ihres Beitrags zu den unternehmerischen Zielen des Instituts.
Diese Abgrenzung ergibt sich auch aus der wörtlichen Auslegung von MaRisk AT 9 Tz. 2- Erl. (neu) – zu berücksichtigen sind Risiken des (ausgelagerten) Prozesses und die Wesentlichkeit des Prozesses. Wären Risiken bereits im Rahmen der Bestimmung der Prozesswesentlichkeit zu berücksichtigen, könnte die sprachliche Zergliederung unterbleiben. In Analogie kann der BSI-Standard 200-2 gelesen werden: Der Bestimmung des Schutzbedarfs – quasi die Bestimmung der Wesentlichkeit von Informationen – folgt die Risikoanalyse für eine Teilmenge2 der bewerteten Informationen. Ein zweischrittiges Verfahren, welches Zustand und (potenzielle negative) Veränderung trennt.3
Kriterien zur Bestimmung der Wesentlichkeit von Geschäftsprozessen können sich im Bewusstsein zuvor beschriebener Abgrenzung an Szenarien des BSI orientieren:
- Gesetze, Verträge etc.
- Reputation
- Finanzielle Ziele
- Aufgabenerfüllung
Innerhalb diverser verbändeorganisierter Institute kommen derartige Ansätze zum Teil bereits zum Einsatz; Geschäftsprozesse werden entlang der Kriterien
- Externe Notwendigkeit/Anforderung
- Strategie/Geschäftspolitische Bedeutung
- Organisatorische Komplexität
klassifiziert und in A-, B- oder C-Prozessklassen unterteilt; hieraus abgeleitet wird beispielsweise die Dokumentationstiefe für die jeweiligen Prozessklassen – ein guter Ansatz, der (noch) nicht konsequent bis zu Ende gedacht oder gelebt wird.
Entgegen einer ebenfalls in der Institutspraxis anzutreffenden Empfehlungen eines zentralen Dienstleisters an seine angeschlossenen Institute, sollten allerdings weder Schutzbedarf der Geschäftsprozesse noch Kritikalität bei der Bestimmung der Wesentlichkeit eine Rolle spielen:
Schutzbedarf:
Der Schutzbedarf wird auf Ebene der Informationen erhoben, die als Input-, teilweise auch Output-Faktoren der Bearbeitung durch einen Geschäftsprozess unterzogen sind. Wie zuvor beschrieben ist der Geschäftsprozess Träger der Information – es handelt sich schlichtweg um verschiedene Analyseobjekte.
Bsp.: Geschäftsprozess „Barverkehr (Kasse)“
Die Wesentlichkeit des Prozesses „Barverkehr (Kasse)“ dürfte aufgrund elektronischer Zahlungsverkehrsabwicklung bzw. bargeldloser Bezahlvorgänge und der fortschreitenden Digitalisierung lediglich eine geringe bzw. maximal mittlere Wesentlichkeit aufweisen. Der Schutzbedarf des Prozesses ist aufgrund der Verwendung personen- und transaktions-/kontobezogener Informationen jedoch hiervon unbenommen zumindest in der Schutzbedarfskategorie Vertraulichkeit „hoch“.
Notfallmanagement:
Die Business Impact Analyse betrachtet potenzielle Schäden bei Unterbrechung eines Geschäftsprozesses über definierte Betrachtungsperioden anhand von Szenarien; der Ergebnisbeitrag wird hierbei „nur“ implizit berücksichtigt, nämlich in Form des potenziellen Schadens. In der Praxis lassen sich häufig hohe Übereinstimmungen finden:
- wesentliche Prozesse = tendenziell zeitkritisch
- unwesentliche Prozesse = tendenziell nicht zeitkritisch
Die Zeitkritikalität ergänzt die qualitative Sichtweise auf Prozesse um die Komponente „Zeit“ (Betrachtungsperioden); sie setzt also bei sinnvoller Gestaltung der Methodik zur Erhebung der Prozesswesentlichkeit auf dieser auf (➔ Methodenkonsistenz).
2 Für Geschäftsprozesse bzw. Informationen mit hohem oder sehr hohem Schutzbedarf in zumindest einer Schutzbedarfskategorie.
3 Anm.: Ein in der Praxis häufiger Irrtum ist die Annahme, dass die Schutzbedarfsbestimmung im Rahmen der Betrachtung und Bewertung der Szenarien anhand einer Risikobewertung erfolgt. Die Betrachtung der Schadensszenarien erfolgt gemäß BSI 200-2 einwertig und fokussiert auf die Schadenshöhe – die zur Bestimmung eines Risikos erforderliche Komponente „Eintrittswahrscheinlichkeit“ bleibt unberücksichtigt. Es handelt sich um ein vereinfachtes Verfahren, welches für Informationen mit hohem und sehr hohem Schutzbedarf in einem zweiten Schritt ergänzt und konkretisiert wird.
Anwendung und Nutzen in der Praxis
Die Wesentlichkeit einer Auslagerung sollte nebst den sonstigen in MaRisk AT 9 Tz. 2-Erl. (neu) erwähnten Kriterien auch die Wesentlichkeit des Geschäftsprozesses berücksichtigen. Aufgrund der Methodenfreiheit obliegt es den Instituten, einen angemessenen Ansatz zu definieren, wie die prozessindividuelle Wesentlichkeit auf die Bestimmung der Wesentlichkeit einer Auslagerung wirkt. So könnte beispielsweise die Schwelle für die Wesentlichkeit einer Auslagerung für alle anderen Parameter umso höher angesetzt werden, je unwesentlicher ein Geschäftsprozess ist. Im Rahmen der Definition von Kontrollen im IKS zur Steuerung und Begrenzung von Risiken aus Tätigkeiten und Aktivitäten kommt der Verwendung und der Berücksichtigung der Wesentlichkeit des betroffenen Prozesses eine hohe Bedeutung zu. Instituten ist es durch Verknüpfung der Komponenten Bruttorisiko und Prozesswesentlichkeit möglich, Wirtschaftlichkeitsaspekte im IKS systemisch und willkürfrei zu berücksichtigen:
Zur Steuerung hoher Bruttorisiken in besonders wichtigen Prozessen (A) sind verstärkte Anstrengungen nötig und gefordert, um das Bruttorisiko durch Kontrollen auf ein angestrebtes Nettorisiko-Niveau zu reduzieren, wohingegen geringe Bruttorisiken in nicht wesentlichen Prozessen (C) mitunter keine besondere Beachtung erfahren – im Sprech des Risikomanagements „akzeptiert“ werden. Ähnliches gilt für Schlüsselkontrollen, deren in der Praxis häufig anzutreffende monokausale Bestimmung anhand der risikoreduzierenden Wirkung aufgebrochen werden kann: Das Ausmaß der Risikoreduzierung kann in den verschiedenen Prozessklassen unterschiedlich bei der Bestimmung einer Schlüsselkontrolle berücksichtigt werden. Die Intervalle zur Überprüfung der Wirksamkeit von Kontrollen sollten nebst Qualität der Kontrolle (Schlüsselkontrolle oder Standardkontrolle) ebenso die Wesentlichkeit des Geschäftsprozesses berücksichtigen.
Weiteres Einsatzgebiet zur Steigerung der Wirtschaftlichkeit der risikoorientierten Systeme sowie zur Gewährleistung willkürfreier Ergebnisse ist MaRisk AT 8.2. Die Bestimmung der Wesentlichkeit von Veränderungen in Aufbau und Ablauforganisation sowie der IT-Systeme sollte zumindest die für ablauforganisatorische Aspekte die Wesentlichkeit der betroffenen Geschäftsprozesse berücksichtigen.