IT-Compliance

ORG/IT-Strategie

IHR ANSPRECHPARTNER

Kay Helbig weiterlesen

IT-Compliance: Nachhaltige steuernde IT-Compliance durch die Mobilisation der Mitarbeiter

Neben der Umsetzung von aufsichtsrechtlichen Vorgaben in der Finanzdienstleistersteuerung und dem damit verbundenen Aus- bzw. Umbau der IT-Architektur, tritt auch die eigentliche IT-Arbeit in Finanzunternehmen vor dem Hintergrund steigender Internetkriminalität und teilweise unzureichender Schutzmaßnahmen immer stärker in den Fokus der Aufsicht. Folgend hieraus ist die IT verstärkt Gegenstand eigenständiger aufsichtsrechtlicher Prüfungen. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) konkretisiert mit den Anforderungen an die IT vor allem die MaRisk für den Bankensektor, die MaGo für Versicherungsunternehmen und die KAMaRisk für Kapitalverwaltungsgesellschaften.

Während die „Bankaufsichtlichen Anforderungen an die IT (BAIT)“ bereits im November 2017 veröffentlicht wurden, sind die „Versicherungsaufsichtlichen Anforderungen an die IT (VAIT)“ mit Fassung vom Juli 2018 und die „Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT)“ im Oktober 2019 erschienen.

Unabhängig vom Jahr des Inkrafttretens der Anforderungen steht fest, dass für alle Finanzdienstleistungsunternehmen Handlungsbedarf mit Fokus auf die IT besteht, um die regulatorischen Anforderungen zu erfüllen.

Gesetzliche Vorgaben sind keine Handlungsanweisungen

Dabei sind die gesetzlichen Vorgaben bisher in den wenigsten Fällen explizite Handlungsvorschriften, sondern leiten sich aus dem Anspruch der IT-Sicherheit im weiteren Sinne sowie etablierten Sicherheitsstandards (u.a. BSI, ISO, …) und wachsender Marktexpertise ab.

Auf die Unternehmen kommen somit weiter steigende IT-Aufwände zu, die es neben wachsender Projektportfolien für die Umsetzung aufsichtsrechtlicher Anforderungen in der Steuerung und der zunehmenden Digitalisierung effizient zu managen gilt.

Schutzbedarfe ergeben sich aus den Schutzzielen

EUROGROUP CONSULTING begleitet seine Kunden bei der Analyse sowie bei der Ausgestaltung und Dimensionierung ihrer IT-Compliance.

Die Ableitung der Schutzbedarfe auf Basis einer Definition der Schutzziele und einer Risikoanalyse aller relevanten IT-Komponenten und betroffenen IT-Prozesse ist eine notwendige Voraussetzung für eine vollständige Gesamtsicht.

Abbildung IT-Compliance: Eine umfassende Sicht auf die Umsetzung aufsichtsrechtlicher Vorgaben als Basis einer effizienten Ausgestaltung

Umfassende Betrachtung der IT-Risiken

Um eine effiziente, zielgerichtete und wirkungsvolle Ausgestaltung sicherzustellen, gilt es, neben der umfassenden Betrachtung eine fortwährende und risikobasierte Umsetzung der Maßnahmen zu gewährleisten. Dazu sind IT-Risiken als separate Steuerungsdimension in allen IT-Prozessen zu verankern und über ein integriertes IT-Risikomanagement permanent zu managen.

Die Umsetzung der steuernden IT-Compliance nachhaltig zu verankern, bedeutet ein Umdenken zu fördern

Die Umsetzung erfordert zunehmende Verantwortungsübernahme durch die Mitarbeiter. Durch die Verankerung einer zentralen Transparenz und der Aufbau einer dezentralen Steuerung entstehen neue Strukturen, die den Mitarbeiter in den Fokus setzen. Dadurch wird ein Umdenken in der täglichen Arbeit und eine intrinsische Integration der bewussten Umsetzung in Architektur, Prozessen und individuellem Verhalten begünstigt. Denn nur durch den Mitarbeiter kann eine steuernde IT-Compliance nachhaltig in die Organisation getragen werden.

Der EUROGROUP CONSULTING-Ansatz umfasst all diese Maßnahmen und sieht den Mitarbeiter und dessen Umdenken als entscheidend zur Entfaltung der vollen Wirkungskraft einer steuernden IT-Compliance an.

Durch die jahrelange Erfahrung und Begleitung unserer Kunden bei der Positionierung und Weiterentwicklung ihrer IT sowie der Beratung und Lösungsfindung unserer Teildisziplinen in den Bereichen des ORG/IT-Managements, wird eine zukunftssichere IT bei EGC auch im Kontext anderer Projektziele praktiziert.

Abbildung IT-Compliance als Steuerungseinheit: Die erfolgreiche Umsetzung und Verankerung einer steuernden und wirkungsvollen IT-Compliance erfolgt in drei Stufen

Cookie	Typ	Dauer	Beschreibung
_ga	HTTP Cookie, Statistik & Analyse	2 Jahre	Registriert eine eindeutige ID, die verwendet wird, um statistische Daten dazu, wie der Besucher die Website nutzt, zu generieren. Zu Verarbeitung von Google Analytics erfolgt anonymisiert.
_gat	HTTP Cookie, Statistik & Analyse	1 Tag	Wird von Google Analytics verwendet, um die Anforderungsrate einzuschränken. Zu Verarbeitung von Google Analytics erfolgt anonymisiert.
_gid	HTTP Cookie, Statistik & Analyse	1 Tag	Registriert eine eindeutige ID, die verwendet wird, um statistische Daten dazu, wie der Besucher die Website nutzt, zu generieren. Zu Verarbeitung von Google Analytics erfolgt anonymisiert.
_lfa	HTTP Cookie, Statistik & Analyse	1 Jahr	Dieses Cookie wird vom zum Speichern und Analysieren der Zielgruppenreichweite genutzt. Die Grundlage der Analyse bildet das Tool leadfeeder. Zu Verarbeitung von leadfeeder erfolgt anonymisiert.
cookielawinfo-checkbox-necessary	HTTP Cookie, Funktional/Notwendig	1 Jahr	Cookie, das festhält, welche Cookies Sie genehmigt haben.
cookielawinfo-checkbox-non-necessary	HTTP Cookie, Funktional/Notwendig	1 Jahr	Cookie, das festhält, welche Cookies Sie genehmigt haben - nicht notwendige.
CookieLawInfoConsent	HTTP Cookie, Funktional/Notwendig	1 Jahr	Dieses Cookie wird verwendet, um die Zusammenfassung der erteilten Zustimmung zur Cookie-Nutzung zu speichern.
pll_language	HTTP Cookie, Funktional/Notwendig	1 Jahr	Dieses Cookie wird von unserem Übersetzungs-Plugin „qTranslate-X“ verwendet, um unsere Seite in Deutsch und Englisch anbieten zu können und um Ihre Spracheinstellung zu speichern.
viewed_cookie_policy	HTTP Cookie, Funktional/Notwendig	1 Jahr	Das Cookie "viewing_cookie_policy" wird auf "yes" gesetzt, wenn die Cookie-Rechtsinformationsleiste angezeigt und akzeptiert wurde.