EGC EUROGROUP CONSULTING AG

Ihr Ansprechpartner

Kay Helbig
Kay Helbig weiterlesen
Andreas Gwosdz
Andreas Gwosdz weiterlesen

Klares Ziel der BaFin: Alle Finanzdienstleistungsunternehmen werden gleichartig geprüft

Im durchgeführten Webinar im Juli wurden der Status quo drei Jahre nach Veröffentlichung der VAIT und die Erfolgsfaktoren zur Herstellung einer nachhaltigen Prüfungsfestigkeit erläutert und diskutiert. Nachfolgend geben wir Ihnen einen kurzen Überblick der behandelten Themen.

Wunsch vs. Realität

Ob man sich nun Banken, Versicherungen oder Kapitalverwaltungsgesellschaften anschaut: Bei allen Unternehmen kann man die übergreifende und maßgebliche Feststellung treffen, dass es einiges an Sollkonzepten und Regelungen gibt, dass diese aber in der Realität, sprich dem operativen Tagesgeschäft, nicht hinreichend gelebt werden.

Vorweg wollen wir aber erstmal den Irrglauben aus der Welt schaffen, dass mit der VAIT neue Anforderungen an die Unternehmen gestellt werden.

Die VAIT (gleiches gilt übrigens auch für die BAIT und KAIT) sind lediglich Konkretisierungen und/oder Zusammenfassungen bereits bestehender aufsichtsrechtlicher Anforderungen. Somit sind für die Anforderungen auch keine Umsetzungsfristen vorgesehen und beanspruchen auch keine „regulatorische Vollständigkeit“.

Neben formalen Themen geht es der BaFin dabei immer mehr um die Steuerungsfähigkeit, also die strategische und operative Managementkompetenz.

Regulatorische Anforderungen

Entwicklung der regulatorischen Anforderungen für Versicherungen

Aktuell muss festgehalten werden, dass ca. 80% aller Prüfungen der BaFin, ob nun bei Versicherungen oder Banken, mit Feststellungen des Schweregrades F3 und F4, also Feststellungen mit gewichtigen Mängeln und besonders schwerwiegenden Mängeln, enden. Diese Feststellungen stellen die Ordnungsfähigkeit in Frage und führen oftmals auch zu wesentlichen Sanktionen.

Sanktionen können dabei ermessungsabhängig von Nachschauprüfungen und verpflichtenden Quartalsreportings zur Abarbeitungsverfolgung bis hin zu Kapitalzuschlägen und persönlichen Sanktionen der Vorstände reichen.

Inhaltliche Schwerpunkte

Die inhaltlichen Schwerpunkte der Anforderungen finden sich in einem ineinander wirkenden Dreieck wieder, welches sich durch die Themen Governance, Steuerung und Operative zusammenfassen lässt.

VAIT-Module

VAIT-Module

Mit den neun Modulen sind bestimmte regulatorische Anforderungen und Zielsetzungen verbunden:

  1. IT-Strategie: Festlegung einer mit der Geschäftsstrategie konsistenten und nachhaltigen IT-Strategie
  2. IT-Governance: Etablierung einer Struktur zur Steuerung, Überwachung und Weiterentwicklung der IT auf Basis der IT-Strategie
  3. Informationsrisikomanagement: Implementierung eines internen methodisch stringenten und steuerungsrelevanten Risikomanagement- und Kontrollsystems
  4. Informationssicherheitsmanagement: Definition, fortlaufende Überprüfung und Steuerung von Sollvorgaben und Prozessen zur IT-Sicherheit
  5. Benutzerberechtigungsmanagement: Ausgestaltung der Berechtigungen entsprechend den organisatorischen und fachlichen Vorgaben des Unternehmens und nach „Need-to-Know“ mit angemessenem IKS
  6. IT-Projekte, Anwendungsentwicklung: Angemessene Steuerung und Überwachung der IT-Projekte und Anwendungsentwicklung
  7. IT-Betrieb: Ausgestaltung und Umsetzung der Anforderungen für IT-unterstützte Geschäftsprozesse
  8. Ausgliederungen: Steuerung von IT-Dienstleistungen basierend auf der IT-Strategie
  9. KRITIS: Vorkehrungen nach Stand der Technik zur Vermeidung und Behandlung von Störungen in der als kritisch eingestuften Infrastrukrur

Wichtig hierbei ist, dass nicht die einzelnen Themen oder einzelne Funktionen/Personen geprüft werden, sondern das Institut als Ganzes – und dass dabei immer wieder auffällt, dass das Zusammenspiel der einzelnen Themen und ein einheitliches Vorgehen in den Instituten nicht gegeben ist.

Zu den oben aufgeführten 9 Modulen der VAIT wird es analog den BAIT eine Weiterentwicklung geben, welche sich insbesondere mit den Themen Cybersicherheit und Notfallmanagement inklusive Test- und Wiederherstellungsverfahren befassen wird.

„Die IT-Systeme und digitalen Infrastrukturen in Deutschland sollen die sichersten weltweit werden.“ sagte der Ex-Innenminister Thomas de Maizière einmal. Dementsprechend wundert es nicht, wenn die folgenden drei Punkte die neuen Wege zur Gewährleistung von Informationssicherheit beschreiben:

  • Awareness für IT-Sicherheit von der Basis bis zur Geschäftsleitung und Kontrollgremien
  • Europäische und nationale Gesetze sind einzuhalten
  • Vertrauen ist gut, Kontrolle ist besser, keine blinden Flecken

Ablauf einer BaFin-Prüfung

Versicherungsaufsichtliche Prüfungen sind zeitlich wesentlich intensiver und daher nicht mit einer Abschlussprüfung normaler Wirtschaftsprüfungsgesellschaften zu vergleichen. Die BaFin legt den Prüfungsumfang ohne Rücksprache fest.

In der Regel werden dann 6-10 Prüfer über eine Zeit von 5-6 Wochen den Prüfungsumfang abarbeiten und jede Prüfungsfeststellung dokumentieren. Dies kann jedoch je nach Größe des Unternehmens auch erweitert werden.

VAIT-Prüfungen setzen dabei dezidiert auf „Schneeballeffekte“, sprich der Kettenreaktion der Verbreitung von Ergebnissen und somit auf die disziplinierende Wirkung entsprechender Feststellungen. „Neuralgische Punkte“ sind in der Regel institutionsübergreifend bekannt und dadurch leicht prüfbar.

Trotzdem lassen sich keine Blaupausen oder Prüfungschecklisten für Unternehmen erstellen, da Prüfungen nicht nach Checklisten stattfinden. Die individuellen Ausgangspunkte eines jeden Unternehmens müssen berücksichtigt werden und bei einer nachhaltigen Sicherstellung der VAIT-Prüfungsfestigkeit Berücksichtigung finden.

Erfolgsfaktoren für eine Nachhaltige Sicherstellung der VAIT-Prüfungsfestigkeit

Für ein erfolgreiches IT/ORG-Management sehen wir es als zentrale Aufgabe an, alle Steuerungsfunktionen auszugestalten und diese gesamtheitlich, sprich konzeptionell, prozessual, personell, aber auch technisch auszugestalten.

Aus EGC-Sicht gibt es in der Praxis drei, oft parallel auftretende Kernursachen für eine nicht zufriedenstellende Wirkung hinsichtlich einer nachhaltigen Prüfungsfestigkeit:

Silo-Denken und -Handeln noch nicht überwunden

Konzepte und Prozesse werden vorrangig nach den (berechtigten) Bedürfnissen einzelner Bereiche erarbeitet, aber die Gesamtverzahnung wird vernachlässigt. Zudem sind Prozesse oftmals nicht umsetzbar bzw. werden in der Organisation nicht gelebt.

Eine integrierte Gesamtkonzeption (Konzepte, Strukturen, Prozesse und Personal), die entlang des Frameworks institutsspezifisch auszugestalten sind, führt zum Erfolg.

Fehlende integrierte Datenbasis

Speziell der Informationsverbund ist oftmals nicht integriert abgebildet, sondern auf verschiedenen Systemen verteilt. Daten werden dadurch teilweise redundant gehalten und machen Pflegeprozesse komplex.

Erfolgsversprechend ist die Implementierung einer leistungsfähigen Toolunterstützung mit integrierter Datenbasis entlang der Bedürfnisse des Kunden.

Mitwirkungsleistungen werden unzureichend wahrgenommen

In der Organisation ist die Notwendigkeit und der Nutzen der neuen Vorgaben meist nicht ausreichend kommuniziert und verankert worden. Eine starke Mitwirkung der Fachseite zur Erfüllung der regulatorischen Vorgaben fehlt oftmals.

Das Bewusstsein über die Notwendigkeit der VAIT-Erfüllung, die Mobilisierung der Mitarbeiter und die übergreifende Zusammenarbeit der Organisationseinheiten ist ein weiterer Wirkungsbaustein.

Um eine nachhaltige VAIT-Umsetzung zu gewährleisten, ist es notwendig einige Rahmenbedingungen zu verstehen und zentrale Erfolgsfaktoren i.S. von Good-Practice-Ansätzen zu beherzigen.

Drei zentrale Rahmenbedingungen

  1. Es gibt keine 1:1 kopier- und umsetzbare Blaupause. Vielmehr gilt es, umfangreiche Veränderungen (konzeptionell, prozessual, organisatorisch, personell und technisch) institutsspezifisch in bestehende Strukturen zu implementieren.
  2. Die VAIT ist nicht statisch und weitere Konkretisierungen sind zu erwarten bzw. bereits in Arbeit.
  3. Die Umsetzung der VAIT ist keine reine IT/ORG-Veranstaltung, vielmehr ist das Gesamtunternehmen frühzeitig für eine nachhaltige Umsetzung einzubeziehen.

Fünf zentrale Erfolgsfaktoren

  1. Dem (Gesamt-)Vorgehen sollte ein risiko-basiertes Vorgehen zugrunde liegen – sprich eine klare Priorisierung, da nicht alle Themen parallel und zeitgleich angegangen werden können.
  2. Die Umsetzung sollte auf einer integrierten Datenbasis aufsetzen – hier sehen wir die Implementierung des Informationsverbundes als zentralen Baustein.
  3. Es gilt eine leistungsstarke Programmstruktur zu implementieren, um speziell die Abhängigkeiten zu managen.
  4. Die zukünftige Organisationsstruktur (u.a. Implementierung der 3 Verteidigungslinien 3LoD) ist frühzeitig auszugestalten.
  5. Die Einbindung des Gesamtunternehmens sicherzustellen.

Durch eine erfolgreiche Umsetzung der VAIT können neben der Abdeckung aufsichtsrechtlicher Themen weitere Nutzeneffekte der folgenden Kategorien gehoben werden:

Risikoreduzierung

  • Das Sicherheitsniveau wird deutlich erhöht und Risiken (u.a. Reputations- und finanzielle Schäden) entsprechend reduziert.
  • Der IT-Betrieb (z.B. schnellere Behebung von Störungen und Problemen durch optimierte Prozesse) wird stabilisiert.
  • Das Risiko von Fehlentscheidungen bei IDV-Nutzung durch geregelte Prozesse und Kontrollen wird reduziert.

Effizienzsteigerung

  • Ressourcen können durch transparente, risikobasierte Steuerung auf Basis abgeleiteter Schutzbedarfe effizienter eingesetzt werden.
  • Aufwände zur Umsetzung regulatorischer Anforderungen auf Fachseite können durch die Vermeidung redundanter Aufwände, klar geregelter Prozesse und Verantwortlichkeiten sowie workflowbasierte Toolunterstützung (inkl. Erinnerungsfunktionen) reduziert werden.

Qualitätserhöhung

  • Die Datenqualität wird durch eine integrierte Datenbasis und Qualitätssicherungsroutinen sowie integrierte Kontrollen deutlich erhöht

Unser Antritt: Bündelung starker Kernkompetenzen zum Nutzen unserer Kunden

Kooperation

Durch die Kooperation mit Finance Audit und eine enge Zusammenarbeit mit erprobten Toolanbietern am Markt, können wir Ihnen einen ganzheitlichen Antritt anbieten. Sie erhalten ein Gesamtpaket zur Sicherstellung einer nachhaltigen Prüfungsfestigkeit.

Die Finance Audit Wirtschaftsprüfungsgesellschaft vereint dabei langjährige Erfahrung als Prüfungsgesellschaft – auch auf der „Täterseite“ – mit dem Pragmatismus einer mittelständischen Beratungsgesellschaft. Das ermöglicht Bestandsaufnahmen und Prüfungssimulationen mit hoher Effizienz und Effektivität.

Die ausführlichen Präsentationen des Webinars erhalten Sie gerne auf Anfrage.

    Kontakt






    Bitte beachten Sie unsere Datenschutzerklärung.


    EGC EUROGROUP CONSULTING AG | Thurn-und-Taxis-Platz 6 | 60313 Frankfurt am Main
    Telefon: +49 69 2475055-0 | Fax: +49 69 2475055-50 | E-Mail: info@eurogroupconsulting.de

    EUROGROUP CONSULTING GMBH ÖSTERREICH | Dr. Karl Lueger Platz 5 | 1010 Wien
    Telefon: +43 (1) 513 448 00 | Fax: +43 (1) 513 448 050 | E-Mail: info@eurogroupconsulting.at