Aufbau- und Ablauforganisation
| 1 Bei der Ausgestaltung der Aufbau- und Ablauforganisation ist sicherzustellen, dass miteinander unvereinbare Tätigkeiten durch unterschiedliche Mitarbeiter durchgeführt und auch bei Arbeitsplatz- wechseln Interessenkonflikte vermieden werden. Beim Wechsel von Mitarbeitern in die Risikocontrolling- und Compliance-Funktion sind für Tätigkeiten, die gegen das Verbot der Selbstprüfung und -überprüfung verstoßen, angemessene Übergangsfristen vorzusehen. | |
| 2 Prozesse sowie die damit verbundenen Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen sowie Kommunikationswege sind klar zu definieren und aufeinander abzustimmen. Berechtigungen und Kompetenzen sind nach dem Sparsamkeitsgrundsatz (Need-to-know-Prinzip) zu vergeben und bei Bedarf zeitnah anzupassen. Dies beinhaltet auch die regelmäßige und anlassbezogene Überprü- fung von IT-Berechtigungen, Zeichnungsberechtigungen und sonstigen eingeräumten Kompeten- zen innerhalb angemessener Fristen. Die Fristen orientieren sich dabei an der Bedeutung der Pro- zesse und, bei IT-Berechtigungen, dem Schutzbedarf verarbeiteter Informationen. Das gilt auch be- züglich der Schnittstellen zu wesentlichen Auslagerungen. | Überprüfung von Berechtigungen und Kompetenzen Zeichnungsberechtigungen in Verbindung mit Zahlungsverkehrskonten und wesentliche IT-Berechtigungen sind mindestens jährlich zu überprüfen, alle anderen mindestens alle drei Jahre. Be- sonders kritische IT-Berechtigungen, wie sie bspw. Administratoren aufweisen, sind mindestens halbjährlich zu überprüfen. |