FCR-IT
Regulatorische Anforderungen mit Augenmaß umsetzen
Regulatorische IT-Anforderungen der Finanzaufsicht stellen betroffene Unternehmen vor Herausforderungen – es gilt das Spannungsverhältnis zwischen Compliance-Erfüllung und meist begrenzten Ressourcen zu lösen. Wir bieten Finanzdienstleistern ganzheitliche Prüfungs- und Implementierungsansätze.
Dilemma zwischen Anforderungserfüllung und personeller sowie finanzieller Leistbarkeit
Ist doch alles ganz einfach …
Die Umsetzung von regulatorischen Anforderungen an die IT ist aus Sicht der Finanzaufsicht immer ganz einfach: Neue Anforderungen werden als Rundschreiben veröffentlicht und sind dann von heute auf morgen umzusetzen. In der Praxis zeichnet sich dann meist aber ein ganz anderes Bild. Allein schon der Mitarbeitereinsatz zur Umsetzung der neuen Anforderungen sowie der hiermit verbundene Know-how-Aufbau ist mit erheblichen finanziellen Aufwendungen verbunden. Dies betrifft nicht nur die initiale Umsetzung, sondern auch den Betrieb der häufig neu zu implementierenden IT-Systeme und -Prozesse. Daher fragen sich viele Unternehmen mit Recht: Steht bei uns eigentlich noch unser Kerngeschäft im Vordergrund oder wurde der Geschäftszweck heimlich in die Einhaltung von Normen geändert? Erschwerend kommt bei Finanzdienstleistern dazu, dass der von der Finanzaufsicht geforderte Umfang der Normenumsetzung aufgrund des sehr allgemein gehaltenen Proportionalitätsgrundsatzes nicht immer sehr konkret ist. Offen gesagt, können wir gegen diesen Eindruck wenig entgegenbringen, aber was wir können, ist mit unserer Erfahrung die Anforderungen unternehmensverträglich umzusetzen. Also mit möglichst wenig Einschränkungen für den Geschäftsbetrieb.
Individuell und pragmatisch
Für unsere Prüfungs- und Implementierungsansätze haben wir zu den einzelnen Anforderungen selbstverständlich methodische Vorgehensweisen erarbeitet - wobei wir immer den Bedarf und die Bedürfnisse Ihres Unternehmens im Fokus haben. Dabei berücksichtigen wir nicht nur unternehmensindividuelle Möglichkeiten der Umsetzung sowie die Proportionalität (von der kleinen Kapitalverwaltungsgesellschaft bis hin zum systemkritischen Institut), sondern auch den Sicherheitsgrad, den Sie bei Implementierungsprojekten erreichen möchten oder der durch die Prüfungsaussage abgesichert werden soll. Auch in der Art und dem Umfang der Zusammenarbeit haben wir von Milestone bis zu Coaching-Ansätzen bedarfsgerechte Lösungen. Unsere Tätigkeitfelder reichen von einer reinen Beurteilung des Reifegrads einzelner Anforderungen über die teilweise oder vollständige Auslagerung der Revisionstätigkeiten hin zur Implementierung von Informationsrisiko- und Compliancemanagementsystemen.
Fachübergreifend und interdisziplinär
Die aufsichtsrechtlichen IT-Anforderungen sind grundsätzlich auf dem Stand der Technik umzusetzen, also anhand von gängigen Best-Practice-Standards. Diese allgemein gehaltene Formulierung ist für die jeweiligen Standardsetter meist effizient – da zeitlos –, bringt aber für Unternehmen meist umfassende Auslegungserfordernisse mit sich. Zudem betrifft die Implementierung der Anforderungen nicht alleine die IT-Abteilung. Es sind weitere Abteilungen des Unternehmens fachbereichsübergreifend einzubinden. Das hört sich aufwendig an – und ist es auch –, kann aber bei der richtigen Umsetzung und Integration in die Geschäftsprozesse effizient realisiert werden. Zudem lassen sich weitere Synergien nutzen, da auf den ersten Blick fachlich weit entfernte Best-Practice-Standards doch meistens eng ineinandergreifen. Beispielsweise verlangen sowohl die BAIT wie auch der Datenschutz und die Informationssicherheit Maßnahmen zum Schutz der Integrität. Durch unser interdisziplinäres Team und unsere Projekterfahrung sind wir in Prüfungs- wie auch Implementierungsprojekten bei der „Übersetzung“ der Anforderungen und der Verknüpfung der verschiedenen Normen erprobt.
Regulatorische IT-Anforderungen in einem ganzheitlichen und integrierten Ansatz
Bei unseren Prüfungs- und Implementierungsansätzen berücksichtigen wir ganzheitlich die verschiedensten IT-Compliance-Gebiete und beschränken uns nicht nur auf eine einzelne losgelöste Aufgabenstellung – wir behalten für Sie den Überblick. Garant dafür ist, dass unsere Spezialisten im Geschäftsbereich IT-Revision alle Bereiche der IT-Compliance in einem Team abdecken – Zusammenarbeit ganz ohne künstliche organisatorische Trennung.
Transparent lässt sich unsere Herangehensweise und Ihr Nutzen beispielsweise in unserem Integrierten Compliance-Managementansatz nachvollziehen. Sie werden sich fragen, was hat dies mit der Prüfung oder Umsetzung regulatorischer IT-Anforderungen für Finanzdienstleister zu tun? Natürlich liegt unser Schwerpunkt auf der Erfüllung finanzaufsichtlichen Anforderungen, aber warum sollte man die Beurteilung von Berechtigungsvergaben, die in Form der Funktionstrennung nach MaRisk/BAIT gefordert sind, nicht auch für die Erfüllung datenschutzrechtlicher, steuerrechtlicher oder informationssicherheitsrelevanter Anforderungen nutzen. Dies zu versäumen wäre aus unserer Sicht wenig effizient und würde mögliche Synergien ungenutzt lassen.
Ein Überblick über unsere Tätigkeitsbereiche
In den folgenden Themenschwerpunkten rund um das Thema regulatorische IT-Anforderungen sind wir für unsere Mandanten tätig:
GAP-Analysen/Reifegradermittlung (BAIT, KAIT, ZAIT sowie VAIT)
Im Rahmen einer GAP-Analyse/Reifegradermittlung prüfen und bewerten wir den Umsetzungsgrad der finanzaufsichtlichen IT-Anforderungen bei Ihnen im Unternehmen. Je nach Bedarf berücksichtigten wir hierbei individuelle Risikogesichtspunkte und passen die jeweilige Prüfungstiefe an. Als Ergebnis erhalten Sie von uns neben einer Statusdarstellung auch eine Übersicht umzusetzender Maßnahmen.
Projektbegleitende Qualitätssicherung/Prüfungen (BAIT, KAIT, ZAIT sowie VAIT)
Im Rahmen einer projektbegleitenden Qualitätssicherung/Prüfung begleiten wir Sie über den gesamten Verlauf Ihres Umsetzungsprojektes und stehen Ihnen, je nach vereinbarten Auftragsgegenstand, für die Qualitätssicherung von Arbeitsergebnissen oder als „Sparringspartner“ zur Verfügung.
Implementierung der aufsichtlichen IT-Anforderungen in Form eines ganzheitlichen Managementsystems
Weitere Informationen: Compliance Management/ Security
Sonderprüfungen (SWIFT – Customer Security Programm)
Um den akuten Bedrohungen für IT-Systeme zu begegnen, setzen Unternehmen und ganze Branchen neben den verpflichtend einzuhaltenden gesetzlichen Vorgaben vermehrt auf eigene Sicherheitsstandards. Dies gilt ebenfalls für das Telekommunikationsnetz SWIFT, über das insbesondere Finanznachrichtendiensten angeboten werden. Mit dem Customer Security Programme (CSP) und dem hierin enthaltenen Customer Security Controls Framework (CSCF) definiert SWIFT für seine Kunden eigene verbindliche Vorgaben. Die Umsetzung dieser Vorgaben ist spätestens ab 2021 im Rahmen von sog. Community-Standard Assessments verpflichtend gegenüber SWIFT nachzuweisen. In diesem Zusammenhang bieten wir Ihnen folgende Leistungen an:
- Die Durchführung von vorgelagerten Prüfungen (sog. „Dry-Runs“), um den Umsetzungsstand bzgl. des Customer Security Controls Framework (CSCF) festzustellen.
- Die Durchführung einer projektbegleitenden Qualitätssicherung bzw. eines Coachings bei der Umsetzung der Anforderungen aus dem Customer Security Controls Framework (CSCF).
- Die Durchführung von Community-Standard Assessments.
Prüfung von IT-Dienstleistern
Beratung von IT-Dienstleistern
Wir unterstützen IT-Dienstleister bei der Umsetzung von IT-Anforderungen sowie der Implementierung Interner Kontrollsysteme, um die aufsichtlichen Anforderungen an die IT sicherzustellen.
Weitere Informationen: Cloud Computing/ Outsourcing
Interne Revision/IT-Revision von finanzaufsichtlich regulierten Unternehmen
Weitere Informationen: Interne Revisionsdienstleistungen
Implementierung der KRITIS-Anforderungen in Form eines ganzheitlichen Managementsystems
Weitere Informationen: Compliance Management/ Security