deen

Geschäftsbereich IT-Revision

FCR-IT

Re­gu­la­to­ri­sche An­for­de­run­gen mit Au­genmaß um­set­zen

Re­gu­la­to­ri­sche IT-An­for­de­run­gen der Fi­nanz­auf­sicht stel­len be­trof­fene Un­ter­neh­men vor Her­aus­for­de­run­gen – es gilt das Span­nungs­verhält­nis zwi­schen Com­pli­ance-Erfüllung und meist be­grenz­ten Res­sour­cen zu lösen. Wir bie­ten Fi­nanz­dienst­leis­tern ganz­heit­li­che Prüfungs- und Im­ple­men­tie­rungs­ansätze.

Dilemma zwischen Anforderungserfüllung und personeller sowie finanzieller Leistbarkeit

Ist doch alles ganz einfach …

Die Um­set­zung von re­gu­la­to­ri­schen An­for­de­run­gen an die IT ist aus Sicht der Fi­nanz­auf­sicht im­mer ganz ein­fach: Neue An­for­de­run­gen wer­den als Rund­schrei­ben veröff­ent­licht und sind dann von heute auf mor­gen um­zu­set­zen. In der Pra­xis zeich­net sich dann meist aber ein ganz an­de­res Bild. Al­lein schon der Mit­ar­bei­ter­ein­satz zur Um­set­zung der neuen An­for­de­run­gen so­wie der hier­mit ver­bun­dene Know-how-Auf­bau ist mit er­heb­li­chen fi­nan­zi­el­len Auf­wen­dun­gen ver­bun­den. Dies be­trifft nicht nur die in­itiale Um­set­zung, son­dern auch den Be­trieb der häufig neu zu im­ple­men­tie­ren­den IT-Sys­teme und -Pro­zesse. Da­her fra­gen sich viele Un­ter­neh­men mit Recht: Steht bei uns ei­gent­lich noch un­ser Kern­ge­schäft im Vor­der­grund oder wurde der Ge­schäfts­zweck heim­lich in die Ein­hal­tung von Nor­men geändert? Er­schwe­rend kommt bei Fi­nanz­dienst­leis­tern dazu, dass der von der Fi­nanz­auf­sicht ge­for­derte Um­fang der Nor­men­um­set­zung auf­grund des sehr all­ge­mein ge­hal­te­nen Pro­por­tio­na­litätsgrund­sat­zes nicht im­mer sehr kon­kret ist. Of­fen ge­sagt, können wir ge­gen die­sen Ein­druck we­nig ent­ge­gen­brin­gen, aber was wir können, ist mit un­se­rer Er­fah­rung die An­for­de­run­gen un­ter­neh­mens­verträglich um­zu­set­zen. Also mit möglichst we­nig Ein­schränkun­gen für den Ge­schäfts­be­trieb.

Individuell und pragmatisch

Für un­sere Prüfungs- und Im­ple­men­tie­rungs­ansätze ha­ben wir zu den ein­zel­nen An­for­de­run­gen selbst­verständ­lich me­tho­di­sche Vor­ge­hens­wei­sen er­ar­bei­tet - wo­bei wir im­mer den Be­darf und die Bedürf­nisse Ih­res Un­ter­neh­mens im Fo­kus ha­ben. Da­bei berück­sich­ti­gen wir nicht nur un­ter­neh­mens­in­di­vi­du­elle Möglich­kei­ten der Um­set­zung so­wie die Pro­por­tio­na­lität (von der klei­nen Ka­pi­tal­ver­wal­tungs­ge­sell­schaft bis hin zum sys­tem­kri­ti­schen In­sti­tut), son­dern auch den Si­cher­heits­grad, den Sie bei Im­ple­men­tie­rungs­pro­jek­ten er­rei­chen möch­ten oder der durch die Prüfungs­aus­sage ab­ge­si­chert wer­den soll. Auch in der Art und dem Um­fang der Zu­sam­men­ar­beit ha­ben wir von Mi­les­tone bis zu Coa­ching-Ansätzen be­darfs­ge­rechte Lösun­gen. Un­sere Tätig­keit­fel­der rei­chen von ei­ner rei­nen Be­ur­tei­lung des Rei­fe­grads ein­zel­ner An­for­de­run­gen über die teil­weise oder vollständige Aus­la­ge­rung der Re­vi­si­onstätig­kei­ten hin zur Im­ple­men­tie­rung von In­for­ma­ti­ons­ri­siko- und Com­pli­an­ce­ma­nage­ment­sys­te­men.

Fachübergreifend und interdisziplinär

Die auf­sichts­recht­li­chen IT-An­for­de­run­gen sind grundsätz­lich auf dem Stand der Tech­nik um­zu­set­zen, also an­hand von gängi­gen Best-Prac­tice-Stan­dards. Diese all­ge­mein ge­hal­tene For­mu­lie­rung ist für die je­wei­li­gen Stan­dard­set­ter meist ef­fi­zi­ent – da zeit­los –, bringt aber für Un­ter­neh­men meist um­fas­sende Aus­le­gungs­er­for­der­nisse mit sich. Zu­dem be­trifft die Im­ple­men­tie­rung der An­for­de­run­gen nicht al­leine die IT-Ab­tei­lung. Es sind wei­tere Ab­tei­lun­gen des Un­ter­neh­mens fach­be­reichsüberg­rei­fend ein­zu­bin­den. Das hört sich auf­wen­dig an – und ist es auch –, kann aber bei der rich­ti­gen Um­set­zung und In­te­gra­tion in die Ge­schäfts­pro­zesse ef­fi­zi­ent rea­li­siert wer­den. Zu­dem las­sen sich wei­tere Syn­er­gien nut­zen, da auf den ers­ten Blick fach­lich weit ent­fernte Best-Prac­tice-Stan­dards doch meis­tens eng in­ein­an­der­grei­fen. Bei­spiels­weise ver­lan­gen so­wohl die BAIT wie auch der Da­ten­schutz und die In­for­ma­ti­ons­si­cher­heit Maßnah­men zum Schutz der In­te­grität. Durch un­ser in­ter­dis­zi­plinäres Team und un­sere Pro­jekt­er­fah­rung sind wir in Prüfungs- wie auch Im­ple­men­tie­rungs­pro­jek­ten bei der „Über­set­zung“ der An­for­de­run­gen und der Verknüpfung der ver­schie­de­nen Nor­men er­probt.

Wir beantworten sie Ihnen gerne. Sie haben Fragen?

Regulatorische IT-Anforderungen in einem ganzheitlichen und integrierten Ansatz

Bei un­se­ren Prüfungs- und Im­ple­men­tie­rungs­ansätzen berück­sich­ti­gen wir ganz­heit­lich die ver­schie­dens­ten IT-Com­pli­ance-Ge­biete und be­schränken uns nicht nur auf eine ein­zelne los­gelöste Auf­ga­ben­stel­lung – wir be­hal­ten für Sie den Über­blick. Ga­rant dafür ist, dass un­sere Spe­zia­lis­ten im Ge­schäfts­be­reich IT-Re­vi­sion alle Be­rei­che der IT-Com­pli­ance in einem Team ab­de­cken – Zu­sam­men­ar­beit ganz ohne künst­li­che or­ga­ni­sa­to­ri­sche Tren­nung.

Trans­pa­rent lässt sich un­sere Her­an­ge­hens­weise und Ihr Nut­zen bei­spiels­weise in un­se­rem In­te­grier­ten Com­pli­ance-Ma­nage­men­tan­satz nach­voll­zie­hen. Sie wer­den sich fra­gen, was hat dies mit der Prüfung oder Um­set­zung re­gu­la­to­ri­scher IT-An­for­de­run­gen für Fi­nanz­dienst­leis­ter zu tun? Natürlich liegt un­ser Schwer­punkt auf der Erfüllung fi­nanz­auf­sicht­li­chen An­for­de­run­gen, aber wa­rum sollte man die Be­ur­tei­lung von Be­rech­ti­gungs­ver­ga­ben, die in Form der Funk­ti­ons­tren­nung nach Ma­Risk/BAIT ge­for­dert sind, nicht auch für die Erfüllung da­ten­schutz­recht­li­cher, steu­er­recht­li­cher oder in­for­ma­ti­ons­si­cher­heits­re­le­van­ter An­for­de­run­gen nut­zen. Dies zu versäumen wäre aus un­se­rer Sicht we­nig ef­fi­zi­ent und würde mögli­che Syn­er­gien un­ge­nutzt las­sen.

 

Ein Überblick über unsere Tätigkeitsbereiche

In den fol­gen­den The­men­schwer­punk­ten rund um das Thema re­gu­la­to­ri­sche IT-An­for­de­run­gen sind wir für un­sere Man­dan­ten tätig:

Im Rah­men ei­ner GAP-Ana­lyse/Rei­fe­gra­der­mitt­lung prüfen und be­wer­ten wir den Um­set­zungs­grad der fi­nanz­auf­sicht­li­chen IT-An­for­de­run­gen bei Ih­nen im Un­ter­neh­men. Je nach Be­darf berück­sich­tig­ten wir hier­bei in­di­vi­du­elle Ri­si­ko­ge­sichts­punkte und pas­sen die je­wei­lige Prüfungs­tiefe an. Als Er­geb­nis er­hal­ten Sie von uns ne­ben ei­ner Sta­tus­dar­stel­lung auch eine Über­sicht um­zu­set­zen­der Maßnah­men

Im Rah­men ei­ner pro­jekt­be­glei­ten­den Qua­litäts­si­che­rung/Prüfung be­glei­ten wir Sie über den ge­sam­ten Ver­lauf Ih­res Um­set­zungs­pro­jek­tes und ste­hen Ih­nen, je nach ver­ein­bar­ten Auf­trags­ge­gen­stand, für die Qua­litäts­si­che­rung von Ar­beits­er­geb­nis­sen oder als „Spar­rings­part­ner“ zur Verfügung.

Wei­tere In­for­ma­tio­nen: Com­pli­ance Ma­nage­ment/ Se­cu­rity

Um den aku­ten Be­dro­hun­gen für IT-Sys­teme zu be­geg­nen, set­zen Un­ter­neh­men und ganze Bran­chen ne­ben den ver­pflich­tend ein­zu­hal­ten­den ge­setz­li­chen Vor­ga­ben ver­mehrt auf ei­gene Si­cher­heits­stan­dards. Dies gilt eben­falls für das Te­le­kom­mu­ni­ka­ti­ons­netz SWIFT, über das ins­be­son­dere Fi­nanz­nach­rich­ten­diens­ten an­ge­bo­ten wer­den. Mit dem Cu­st­omer Se­cu­rity Pro­gramme (CSP) und dem hierin ent­hal­te­nen Cu­st­omer Se­cu­rity Con­trols Frame­work (CSCF) de­fi­niert SWIFT für seine Kun­den ei­gene ver­bind­li­che Vor­ga­ben. Die Um­set­zung die­ser Vor­ga­ben ist spätes­tens ab 2021 im Rah­men von sog. Com­mu­nity-Stan­dard As­sess­ments ver­pflich­tend ge­genüber SWIFT nach­zu­wei­sen. In die­sem Zu­sam­men­hang bie­ten wir Ih­nen fol­gende Leis­tun­gen an:

  • Die Durchführung von vor­ge­la­ger­ten Prüfun­gen (sog. „Dry-Runs“), um den Um­set­zungs­stand bzgl. des Cu­st­omer Se­cu­rity Con­trols Frame­work (CSCF) fest­zu­stel­len.
  • Die Durchführung ei­ner pro­jekt­be­glei­ten­den Qua­litäts­si­che­rung bzw. ei­nes Coa­chings bei der Um­set­zung der An­for­de­run­gen aus dem Cu­st­omer Se­cu­rity Con­trols Frame­work (CSCF).
  • Die Durchführung von Com­mu­nity-Stan­dard As­sess­ments.

In Ih­rem Auf­trag führen wir die Prüfung von IT-Dienst­leis­tern in Be­zug auf die Erfüllung auf­sicht­li­cher An­for­de­run­gen an die IT durch. Dies kann bei­spiels­weise im Rah­men von Prüfun­gen der we­sent­li­chen Aus­la­ge­run­gen durch die In­terne Re­vi­sion der Fall sein.

Gerne führen wir eine Prüfung von IT-Dienst­leis­ter auch in Form ein­schlägi­ger Zer­ti­fi­zie­run­gen (wie IDW PS 951, ISAE 3402, etc.) durch.

Wei­tere In­for­ma­tio­nen: Cloud Com­pu­ting/ Out­sour­cing

Wir un­terstützen IT-Dienst­leis­ter bei der Um­set­zung von IT-An­for­de­run­gen so­wie der Im­ple­men­tie­rung In­ter­ner Kon­troll­sys­teme, um die auf­sicht­li­chen An­for­de­run­gen an die IT si­cher­zu­stel­len.

Wei­tere In­for­ma­tio­nen: Cloud Com­pu­ting/ Out­sour­cing

Wei­tere In­for­ma­tio­nen: In­terne Re­vi­si­ons­dienst­leis­tun­gen

Wei­tere In­for­ma­tio­nen: Com­pli­ance Ma­nage­ment/ Se­cu­rity

Haben wir Ihr Interesse geweckt?

Un­sere Ex­per­tin­nen und Ex­per­ten be­ant­wor­ten Ihre Fra­gen gerne.
Sebastian Adam, Certified Information System Auditor, ISO/IEC 27001 Lead Implementer, Ebner Stolz, Mendelssohnstr. 87, 60325 Frankfurt am Main
Sebastian Adam
Cer­ti­fied In­for­ma­tion Sys­tems Au­di­tor, ISO/IEC 27001 Lead Im­ple­men­ter