Operative Professionalität

Grundsatz nr #7

Leitlinien zur Umsetzung

7.1 Solides Risikomanagement

 
 
 

Identifizieren Sie wesentliche Risiken für das Unternehmen und Ihre Kunden und sorgen Sie für ein kontinuierliches Risikomanagement. Setzen Sie geeignete Maßnahmen zur Risikominimierung um.

Ein Anbieter muss sein Geschäft mit der notwendigen Kompetenz, Vorsicht und Sorgfalt führen und wichtige Risiken managen.

Identifizieren und bemessen Sie die wichtigsten Risiken für Ihr Unternehmen und Ihre Kunden:

  • finanzielle Risiken (Abwicklungsrisiken von Transaktionen, Kontrahentenrisiken)
  • betriebliche Risiken (Risiken aufgrund von Fehlern oder Betrug)
  • rechtliche und Compliance-Risiken.

Richten Sie interne Kontrollen ein:

  • Anbieter sollten wesentliche Risiken kontinuierlich überwachen und steuern. Das kann die Erstellung eines Risikoregisters beinhalten sowie regelmäßige Risikoanalysen und/oder Überprüfungen der Richtlinienkonformität
  • Anbieter sollten über Strukturen für die Risikoüberwachung verfügen, die beispielsweise sicherstellen, dass zentrale Risiken regelmäßig von der Unternehmensführung besprochen werden.

Minimieren Sie Ihre Risiken:

  • Richten Sie betriebliche Risikokontrollen für Verantwortungsbereiche, Richtlinien, Prozesse und Verfahren sowie IT-Systeme ein
  • Setzen Sie die „Grundsätze der Funktionstrennung“ und das „Vier-Augen-Prinzip“ um, nach denen
    für bestimmte Aufgaben immer zwei Personen benötigt werden. Sie tragen dazu bei, Betrug und erhebliche betriebliche Fehler zu vermeiden oder zu reduzieren
  • Beispiele für Risikoaktivitäten, die das „Vier-Augen-Prinzip“ und die „Grundsätze der Funktionstrennung“ erfordern, sind Geldüberweisungen und physische Auslieferungen.

7.2 Physische Sicherheit

 
 
 

Sorgen Sie für die angemessene bauliche und physische Sicherung der Vermögenswerte. Neben der sicheren Verwahrung von Wertgegenständen beinhaltet das die bauliche und physische Sicherung von IT-Infrastruktur und sensiblen Daten wie Kundendaten.

Sorgen Sie für angemessene physische Sicherheit für:

  • Mitarbeiter des Unternehmens
  • Kunden, die eine Niederlassung des Unternehmens besuchen
  • Wertgegenstände wie vom Unternehmen oder im Auftrag der Kunden verwahrtes Gold oder Barguthaben
  • Empfindliche Infrastruktur wie IT-Systeme und Kundendaten.

Erstellen Sie Pläne, um folgenden Szenarien vorzubeugen:

  • Raubüberfälle auf Niederlassungen oder Transporte des Unternehmens
  • Einbrüche in Niederlassungen oder Lager bzw. Tresore des Unternehmens
  • Unberechtigter Zugriff und Schädigungen durch Mitarbeiter, z. B. Unterschlagung von Vermögenswerten oder Zugriff auf Kundendaten.

Leiten Sie Schutzmaßnahmen ein:

  • Bringen Sie physische Einbruchs- oder Diebstahlsicherungen an, z. B. Schlösser und Sicherheitstüren oder -fenster
  • Installieren Sie Alarmanlagen
  • Begrenzen Sie den Zugriff durch unberechtigte Mitarbeiter mithilfe von Zugriffskontrollen und Überwachungsmaßnahmen.

7.3 Zuverlässige Informationstechnologie

 
 
 

Investieren Sie in angemessene IT-Systeme und  Prozesse, die den Schutz von sensiblen Daten gewährleisten. Setzen Sie Best Practices für Cybersicherheit um und seien Sie vorbereitet auf IT-Notfälle wie Systemausfälle.

Implementieren Sie eine effektive Datensicherung und -speicherung:

  • Schützen Sie die Kundendaten und halten Sie die geltenden Datenschutzgesetze ein
  • Verschlüsseln Sie alle sensiblen Daten
  • Führen Sie Protokolle und Aufzeichnungen über alle relevanten Daten und Aktivitäten
  • Nehmen Sie Datensicherungen vor
  • Implementieren Sie Strategien für Geschäftskontinuität und Notfallwiederherstellung.

Schützen Sie die Cybersicherheit:

  • Verlangen Sie umfassende Authentifizierungsverfahren, um das Risiko unberechtigter Geldüberweisungen zu verringern
  • Setzen Sie Firewalls, Netzüberwachung, Wartungs-Patches und Intrusion-Detection-Systeme ein
  • Führen Sie Penetrationstests und Schwachstellen-Scans durch
  • Setzen Sie Verfahren zur Steuerung und Kontrolle des System-Zugriffs von Mitarbeitern ein.

Bereiten Sie ein Dokumentations- und Kontingenzmanagement vor:

  • Halten Sie Ihre IT-Richtlinien und IT-Dokumentationen auf aktuellem Stand
  • Pflegen Sie Notfallpläne und betreiben Sie bei Bedarf Forensik, um etwaige Probleme zurückzuverfolgen.

Investieren Sie in zuverlässige Ressourcen:

  • Arbeiten Sie mit qualifizierten Mitarbeitern, die regelmäßig geschult werden
  • Arbeiten Sie mit zuverlässigen Dienstleistern.

7.4 Gewissenhaftes Outsourcing

 
 
 

Wählen Sie Drittanbieter und Vertragsbedingungen sorgfältig aus und überwachen Sie Anbieter genau. Machen Sie Informationen über relevante Dienstleister wie Tresorbetreiber Ihren Kunden zugänglich, wenn diese das Kundenerlebnis deutlich beeinflussen oder wesentliche Risiken mit sich bringen können.

Minimieren Sie Outsourcing-Risiken:

  • Führen Sie bei externen Anbietern eine Due-Diligence-Prüfung durch und wählen Sie nur vertrauenswürdige und zuverlässige Partner aus
  • Vereinbaren Sie Qualität und Umfang der Leistungen und dokumentieren Sie diese in Service Level Agreements (SLAs)
  • Minimieren und steuern Sie Risiken durch den Fokus auf korrekte Vertragsbedingungen oder Versicherungsanforderungen.

Führen Sie eine laufende Überwachung ein:

  • Überprüfen Sie regelmäßig die Qualität der bereitgestellten Leistungen sowie die Anbieter selbst.

Legen Sie wichtige Informationen offen:

  • Teilen Sie den Kunden gegebenenfalls die Namen wesentlicher Dienstleister wie Tresorbetreibern mit.