News & Aktuelles

Immer bestens informiert.

Damit Sie immer auf dem Laufenden bleiben finden Sie an dieser Stelle regelmäßig Neuigkeiten sowohl über die Graf Unternehmensberatung, als auch zu aktuellen Themen.


Wir freuen uns, wenn Sie regelmäßig vorbeischauen.

Herzlich Willkommen!

News

15. NOV

QUO VADIS IKS

Das richtige Ziel ist entscheidend für ein erfolgreiches und lebbares IKS

 

Nachdem uns in den letzten Wochen verstärkt Anfragen von verbändeorganisierten Instituten zu deren IKS-Konzepten erreichten, haben wir uns mit unserem Kooperationspartner hub GmbH intensiv ausgetauscht und für Sie in unserem jüngsten Newsletter Antworten auf die zwei vordringlichsten Fragen gegeben:

 

  1. Gibt es einen Unterschied zwischen dem IKS im Sinne des IDW PS 261 bzw. MaRisk AT 1 Tz. 1 und dem geschäftsprozessbezogenen IKS“ – und wenn ja, welche?
  2. Wie wirtschaftlich darf bzw. muss ein (geschäftsprozessbezogenes) IKS sein und welche Rolle spielt hierbei die Verzahnung mit den anderen risikoorientierten Funktionen und Beauftragten?

I. Vorbemerkung

Kreditinstitute befassen sich seit geraumer Zeit mit der Optimierung ihrer Geschäftsprozesse und in diesem Kontext auch mit den für die Geschäfts-prozesse relevanten Kontrollen. Innerhalb der verbändeorganisierten Institute ist diese Fokussierung seit ca. 2015 festzustellen, nachdem diverse Prüfungsverbände erstmals Leitfäden zur Einrichtung und Weiter-entwicklung von Internen Kontrollsystemen („IKS“) erstellt hatten. Flankiert werden diese Leitfäden regelmäßig von umfassenden Prozessmodellen bzw. Projekten zur Einführung einheitlicher, konsistenter Prozesslandkarten.

Im Kontext der Erfüllung der Anforderungen an die Ausgestaltung eines IKS ergeben sich in vielen Instituten immer wieder offene, praxisrelevante Fragen – insbesondere im Hinblick auf fehlende Konsistenz zu den Methoden der Banksteuerung, der Verzahnung mit bereits bestehenden Funktionen (Informationssicherheit, Notfallmanagement, Auslagerungs-management), aber auch schlichtweg zu Wirtschaftlichkeitsaspekten.


Aus unserer Sicht ist es daher Zeit, zwei der relevantesten Fragen aufzugreifen und zu beantworten:

  • Welche Anforderungen an ein IKS bzw. ein geschäftsprozessbezogenes IKS existieren und wie sind diese im Kontext operationeller Risiken (OpRisk) zu erfüllen?
  • Wie wirtschaftlich darf, vielleicht sogar muss, ein IKS sein?

I. Grundlagen

Ein angemessenes und wirksames Risikomanagement im Sinne von § 25a KWG i.V.m. MaRisk AT 1 Tz. 1 umfasst unter Berücksichtigung der Risikotragfähigkeit insbesondere die Festlegung von Strategien sowie die Einrichtung interner Kontrollverfahren; letztere bestehen aus dem Internen Kontrollsystem und der Internen Revision. Das Interne Kontrollsystem umfasst insbesondere Regelungen zur Aufbau- und Ablauforganisation, Prozesse zur Identifizierung, Beurteilung, Steuerung, Überwachung sowie Kommunikation der Risiken (Risikosteuerungs- und -controllingprozesse) sowie eine Risikocontrolling-Funktion und eine Compliance-Funktion.

Der IDW PS 261 n.F., definiert das IKS als „die „von dem Management im Unternehmen eingeführten Grundsätze, Verfahren und Maßnahmen (Regelungen) …, die gerichtet sind auf die organisatorische Umsetzung der Entscheidungen des Managements

  • zur Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit (…),
  • zur Ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rechnungslegung sowie
  • zur Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften.“


Diese Regelungen beziehen sich sowohl auf das interne Steuerungssystem als auch das interne Überwachungssystem, welches prozessintegrierte (organisatorische Sicherungsmaßnahmen und Kontrollen) und prozess-unabhängige Überwachungsmaßnahmen beinhaltet.

Abb. 1: IKS gemäß IDW PS 261 n.F.

Die Angemessenheit des Internen Kontrollsystems eines Instituts ist im Kontext der bestehenden Soll-Anforderungen, sowie der Kontrollumgebung zu beurteilen. Soll-Anforderungen umfassen dabei insbesondere gesetzliche Vorgaben und darüberhinausgehende Anforderungen der Aufsichts-behörden. Im Gegensatz zu den Soll-Anforderungen, die auf Basis eines für alle Institute weitgehend einheitlichen Rahmenwerks abgeleitet werden, unterscheidet sich die Kontrollumgebung je Institut in Abhängigkeit von Art und Komplexität der Geschäftstätigkeit und den prozessual-organisatorischen Rahmenbedingungen des jeweiligen Instituts.

III. IKS im Kontext von OpRisk

Um ein IKS insbesondere auf Ebene der Geschäftsprozesse richtig und nutzenstiftend einzuführen, ist es für die Praxis der Institute wichtig, die Begriffe „IKS“ (siehe Abschnitt II) und „geschäftsprozessbezogenes IKS“ abzugrenzen. Das IKS im weiten Sinne umfasst u.a. nachfolgende, beispielhafte Elemente:

 

Abb. 2: IKS-Elemente; Auszug aus IDW PS 261 n.F.

Das geschäftsprozessbezogene IKS (gIKS) hingegen fokussiert ausschließlich auf prozessuale Aspekte (Tätigkeiten). Anders ausgedrückt: Das gIKS ist ein Element des IKS im weiten Sinne.

Ausgangspunkt für den Aufbau eines gIKS ist die Prozesslandkarte eines Instituts. Methodisch verankert ist das gIKS hinsichtlich Risikobewertungs-methodik und -parameter im OpRisk-Konzept eines Instituts. Betrachtet man die OpRisk-Landkarte eines Instituts mit ihren Unterkategorien beschränkt sich das gIKS etwas überspitzt formuliert auf den Bearbeitungsfehler.

Abb. 3: OpRisk-Landkarte mit Unterkategorien

Dieser – bei erster Betrachtung vielleicht zu enge – Fokus ist methodisch begründet und blendet unter Berücksichtigung der Begriffsabgrenzung „IKS“/“gIKS“ keine der anderen OpRisk-Kategorien aus. Im Gegenteil: Vielmehr ist die Fokussierung Ausdruck eines konsequent ausgerichteten „Integrated Governance“-Ansatzes, in dem jeder Funktionsträger seine jeweilige Fachverantwortung umfassend, aber zugleich klar abgegrenzt wahrnimmt, um ein überschneidungsfreien, konsistentes und vollständiges OpRisk-Controlling zu gewährleisten.

a. Ursachebezug der OpRisk-Kategorien


In den meisten Instituten umfassen die OpRisk-Kategorien eine Vielzahl von Ausprägungen, die nicht prozessual oder zumindest nicht auf Ebene aller Geschäftsprozesse abgegriffen werden können. Exemplarisch hierfür zwei Beispiele:

OpRisk-Kategorie „Verträge“
Jedes Institut hat eine Vielzahl von Vertragsrisiken. Aus diesem Grund gibt es in den meisten Instituten einen Vertragsmanagementprozess, an dessen Ende (= Prozessoutput) geprüfte Verträge/Vertragsmuster und dergleichen stehen. Der Vertragsmanagementprozess ist ein Unterstützungsprozess für Wertschöpfungs-/Kundenprozesse, in denen die geprüften Verträge Anwendung finden.


Werden in einem Kundenprozess fehlerhafte Verträge genutzt oder Verträge fehlerhaft verwendet, gibt es hierfür zwei Ursachen:

  1. Der Vertrag/das Vertragsmuster ist fehlerhaft
    (mangelhafter Prozessoutput des Vertragsmanagementprozess)
  2. Ein an sich richtiges Vertragsdokumente wird nicht bzw. fehlerhaft im Wertschöpfungs-/Kundenprozess verwendet
    (Anwendungsfehler)


In beiden Fällen liegen Bearbeitungsfehler (Ursache) vor, die zu Vertrags-risiken (Wirkung) führen. Daher werden sowohl Unterstützungsprozess als auch die Anzahl der betroffenen Kundenprozesse dem gIKS unterworfen:

  1. Im Vertragsmanagementprozess ist ein Vier-Augen-Prinzip vorgesehen, dass gewährleistet, dass Vertragsanforderungen korrekt umgesetzt werden.
  2. Im Kundenprozess ist eine Kontrolle vorgesehen, die die Verwendung des korrekten Vertragsmusters (z.B. aktuelle Version, keine manuellen Ergänzungen/Streichungen) gewährleistet.


Wichtig und daher noch einmal: Ein Institut hat unzweifelhaft Vertragsrisiken; diese können bei strikter Prozessbetrachtung allerdings nicht ursächlich sein. Das Vertrags-risiko ist das Resultat eines oder mehrerer Bearbeitungsfehler.

OpRisk-Kategorie „Fähigkeiten, Verfügbarkeiten“
Fähigkeiten und Verfügbarkeiten werden innerhalb der Institute in aller Regel durch hierfür definierte Personalprozesse (Recruiting, Einstellung) sowie Schulungs- und Weiterbildungsprozesse gewährleistet.


Fehler im Einstellungsprozess, die zu einer qualitativ oder quantitativ unzureichenden Besetzung einer Stellen führen, sind Ausprägungen eines Bearbeitungsfehlers (Fehler bei der Personalauswahl). Das Folgerisiko aufgrund mangelnder Qualifikation tritt innerhalb der Wertschöpfungs-prozesse regelmäßig in Form von Bearbeitungsfehlern zu Tage.


An dieser Stelle lohnt sich zudem der Hinweis, Maßnahmen und Kontrollen zu unterscheiden, da im Hinblick auf die OpRisk-Kategorie „Fähigkeiten …“ regelmäßig nur Maßnahmen zur Anwendung kommen:
Eine Kontrolle ist ein risikoreduzierender Vorgang, welcher die Eintrittswahrscheinlichkeit (Häufigkeit) eines unerwünschten Ereignisses und/oder dessen potenzielle Verlusthöhe (Bedeutung) reduziert. Kontrollen wirken über einen längeren Zeitraum, durch regelmäßige Ausführung (Wiederholung) im zugrundeliegenden Geschäftsprozess. Hiervon abzugrenzen sind Maßnahmen, die zwar ebenfalls risikoreduzierend wirken, jedoch einen zeitpunktbezogenen Vorgang darstellen (keine Wiederholung): So stellen Schulungen keine Kontrolle im Sine des gIKS dar; Schulungen sind Maßnahmen. Allerdings können innerhalb von Schulungs- und Sensibilisierungsprozessen Kontrollen definiert sein, z.B. Durchführungskontrollen in Form von Teilnehmerlisten.


Diese Unterscheidung ist insbesondere für den späteren Einbezug von Kontrollen, nicht Maßnahmen, in das Kontrolltestverfahren von Bedeutung. Maßnahmen können hinsichtlich ihrer Wirksamkeit beurteilt werden, allerdings erfolgt diese Beurteilung aufgrund ihrer Einmaligkeit außerhalb des „klassischen“ Kontrolltestverfahrens, welches rollierend durchgeführt wird.

Abb. 4: Wirkung von Kontrollen und Maßnahmen

b. Verzahnung der risikoorientierten Funktionen
    /Zuständigkeiten für spezielle OpRisk-Kategorien


Das gIKS stellt eine Ergänzung zu bereits bestehenden Risikomanagement (-sub-)systemen dar, die bereits eine Vielzahl der OpRisk-Risikokategorien adressieren. Diese Risikomanagement(-sub-)systeme sind i.W.

  • das Informationssicherheitsmanagement,
  • das Notfallmanagement sowie
  • das Auslagerungsmanagement.


Erneut bedienen wir uns zur Verdeutlichung dieses Sachverhalts der typischen OpRisk-Landkarte eines verbändeorganisierten Instituts:

OpRisk-Kategorie „Interne Infrastruktur“ sowie „Naturgewalten, Unfälle“
Die Ursachekategorie „Interne Infrastruktur“ und deren Unterpunkte werden in wesentlichen Zügen durch Informationen aus Risikoanalysen des Informationssicherheitsbeauftragten und des Notfallbeauftragen befüllt. Dies ist begründet in der Methodik des BSI, das fordert, dass ausgehend von den Geschäftsprozessen i.V.m. der Schutzbedarfs-bestimmung die Informationsrisiken des Instituts erhoben werden. Gefährdungen und Bedrohungen für die Informationssicherheit, welche stets auch die Informationssicherheit umfassen, werden folglich bereits in einem Subsystem neben dem gIKS erhoben.

Abb. 5: OpRisk-Teilmenge Informations-/Notfallrisiken

OpRisk-Kategorie „Outsourcing, Lieferanten“
Risiken aus Fremdbezügen und Outsourcings unterliegen einer prozessbezogenen Risikobetrachtung; diese ist vom Auslagerungsbeauftragten unter Einbezug der jeweiligen Prozessverantwortlichen zu koordinieren und zumindest qualitätszusichern. Ein zentrales Risikoreporting für diese Risiken an den Vorstand und das OpRisk-Controlling obliegt demnach dem Auslagerungsbeauftragten und ist nicht im gIKS zu verorten.

Abb. 6: OpRisk-Teilmenge Auslagerungsrisiken

Eine prozessorientierte und zugleich ursachebezogene Betrachtung dieser OpRisk-Kategorien führt bei unsachgerechter Ausgestaltung zu Überlappungen der Verantwortungsbereiche der jeweils etablierten Funktionen, schlimmstenfalls zu inkonsistenten und/oder Mehrfachmeldungen von Risiken, weshalb die eingangs formulierte Begrenzung des gIKS auf den Geschäftsprozess und darin begründete Risiken (Bearbeitungsfehler) begründet ist:

Abb. 7: OpRisk-Teilmenge Bearbeitungsfehler

Natürlich kann es immer vorkommen, dass in einem Risikomanagementsubsystem Risiken auffallen, die eigentlich einer anderen Disziplin zuzuordnen wären; für diese Fälle sollten die Konzepte aufeinander abgestimmt und „durchlässig“ sein.


Sämtliche nicht durch die prozessuale Betrachtung abgedeckten OpRisk-Kategorien sollten nicht aus der bottom up-Perspektive identifiziert und bewertet werden; in diesen Fällen schließt das Instrument der OpRisk-Risikoinventur die vermeintliche Lücke.

IV. Wirtschaftlichkeit des gIKS


a. Prozesswesentlichkeit

Das gIKS umspannt grundsätzlich alle Geschäftsprozesse eines Instituts. Dabei sollten Wirtschaftlichkeitsaspekte ebenfalls berücksichtigt werden. Hierbei steht neben der Risikobetrachtung innerhalb des Geschäftsprozesses insbesondere dessen Wertbeitrag für die Erreichung der Institutsziele im Vordergrund; dieser Wertbeitrag kann übersetzt werden mit „Wesentlichkeit (des Prozesses)“.


Die Bestimmung der Wesentlichkeit der Geschäftsprozesse hat systematisch und dokumentiert zu erfolgen; hinsichtlich der Methodik zur Bestimmung der Wesentlichkeit bietet sich eine Anlehnung an die Bewertungsszenarien gemäß BSI-Standardreihe an:

 

Abb. 8: Kriterien zur Bestimmung der Prozesswesentlichkeit

Diese Empfehlung fußt auf einem in der Praxis häufig vorgefundenen Schema:

  • Wesentliche Prozesse sind i.d.R. zeitkritische Prozesse im Sinne des BSI 200-4 CD (alt: BSI 100-4).
  • Nicht-Wesentliche Prozesse sind i.d.R. nicht-zeitkritische Prozesse im Sinne des BSI 200-4 CD (alt: BSI 100-4).


Hierdurch wird gewährleistet, dass zumindest die Konzepte zum gIKS sowie zum Notfallmanagement konsistent gestaltet sind.


Zudem sollte in der Praxis vermieden werden, die Bestimmung der Prozesswesentlichkeit an den Schutzbedarf, der in den Prozessen ver-/ bearbeiteten Informationen zu koppeln oder bereits eine Risikosichtweise mit der Bestimmung der Wesentlichkeit zu vermischen. Im ersten Fall handelt es sich um zwei gänzlich unterschiedliche Bewertungsobjekte (Prozesse ≠ Informationen), im zweiten Fall wird ein wesentlicher Grundsatz der Risikotheorie verworfen: Die Wesentlichkeit eines Prozesses beschreibt dessen Zustand (= Wert); das Risiko innerhalb eines Prozesses stört diesen Zustand in negativer Art und Weise – es handelt sich beim Risiko um die dynamische Komponente, die das Wertbeitragspotenzial des Prozesses verringert. Am besten merken Sie sich dies am Beispiel „Gold“:


Gold bleibt Gold – egal wo es liegt. Liegt es im Tresor ist das Risiko für den mutmaßlich, für die meisten von uns wesentlichen Vermögenswert gering. Liegt es frei sichtbar für jedermann herum ist das Gold in seiner Wesentlichkeit als Vermögenswert nicht betroffen, es ist nur gefährdeter – vielmehr das Besitzverhältnis an diesem wesentlichen Vermögenswert.


Berücksichtigt man die Prozesswesentlichkeit im gIKS-Konzept, ergibt sich die Möglichkeit, Kontrollhandlungen begründet und in abgestufter Art und Weise zu definieren:

Abb. 9: Wirtschaftlichkeit des IKS

In wesentlichen Prozess mit hohen Bruttorisiken sind demzufolge die Kontrollen i.d.R. umfangreicher und in diesen Prozessen liegen i.d.R. auch die Schlüsselkontrollen des Instituts. In nicht wesentlichen Prozessen mit geringen Bruttorisiken kann hingegen die Kontrollintensität niedrig gehalten werden. Schlüsselkontrollen wären hier eher nicht zu erwarten.

Es besteht zudem die Möglichkeit, den in der Praxis häufig schwer greifbaren Begriff der „Schlüsselkontrolle“ durch die Verknüpfung der Prozesswesentlichkeit und in diesem Fall der risikoreduzierenden Wirkung einer Kontrolle zu definieren und auch hier Wirtschaftlichkeitsaspekte einfließen zu lassen: Denkbar ist, dass per Definition in unwesentlichen Prozessen keine Schlüsselkontrollen vorkommen können und diese nur auf wesentliche Prozesse beschränkt sind, deren Bruttorisiko einen Schwellenwert übersteigt und die Kontrollwirkung zu einer Risikoreduzierung größer x Stufen führt.

Wir sollen Sie zukünftig über neue Themen informieren? Dann melden Sie sich jetzt für unseren Newsletter an!

26. OKT

Die Graf Unternehmensberatung ist dem Förderverein der Regio Augsburg Wirtschaft GmbH e.V. beigetreten.

Der A³ Förderverein hat das Ziel, die Entwicklung des Standorts Region Augsburg mit wichtigen Impulsen zu versehen. Dabei unterstützt der A³ Förderverein die Regio Augsburg Wirtschaft GmbH konsequent bei ihren Aufgaben. Der Verein verfolgt einen integrativen Ansatz und ermöglicht so die Förderung sämtlicher Maßnahmen zur Verbesserung des Wirtschaftsstandortes und des Lebensraums des Wirtschaftsraums Augsburg, insbesondere in den Bereichen Standortentwicklung und Wirtschaftsförderung.

Wirtschaftsförderung bedeutet dabei insbesondere die Förderung der heimischen Wirtschaft im Bereich Mittelstandsförderung, durch Netzwerk- und Clusterbildung, Standortmarketing, Regionalmanagement und Betreuung von Geschäftskontakten. Standortentwicklung bedeutet dabei insbesondere Maßnahmen, die den gesamten Wirtschaftsstandort betreffen, wie Investorenwerbung, Regionalmarketing, Regionalmanagement, Optimierung öffentlicher Einrichtungen, Investition in Zukunftstechnologien, wie innovative Technologien oder regenerative Energie. Der Verein fördert die oben genannten Maßnahmenbereiche insbesondere durch Zuschüsse, Projektentwicklungsfinanzierungen oder Investitionen in Einzelprojekte.

Wir freuen uns, künftig als Mitglied in einer starken Gemeinschaft von weit mehr als 180 Unternehmen in der Region Augsburg mitwirken zu können.

22. OKT

Vorstellung unseres Partners IS4IT GmbH

Wir freuen uns besonders, dass die IS4IT GmbH als Partner in unserem Verbund künftig mit an Bord sein wird. Man sieht sich immer zweimal im Leben. Dieser Spruch ist für diese Partnerschaft sehr treffend. Unsere gemeinsame Zeit beim Vorgängerunternehmen, der heutigen FI-TS liegt, viele Jahre zurück, aber als Roland Dirscherl mich bzgl. einer Unterstützungsleistung angesprochen hat, haben wir erkannt, dass daraus mehr als nur ein einmaliges Telefonat werden könnte und alte Kontakte auch wieder zu neuen Verbindungen führen können.

Das Kernportfolio der IS4IT erstreckt sich von der Beratung bis hin zu Managed Service Dienstleistungen. Insbesondere im aufsichtsrechtlich äußerst relevanten Themenfeld der Informationssicherheit bietet die IS4IT hochprofessionelle Lösungen an. Unter anderem ist die IS4IT dafür da, die Einhaltung der operativen Informationssicherheit sicherzustellen. Sie verfügt über die notwendigen Kapazitäten und technischen Möglichkeiten, auch den Betrieb eines SOC zu übernehmen.

19. OKT

Vorstellung unseres Partners modernX GmbH & Co. KG

Mit der modernX GmbH & Co. KG freuen wir uns einen weiteren Partner begrüßen zu dürfen. modernX entwickelt IT-Strategien nach Maß und implementiert diese in Ihre Business-IT. Dabei stellen sie Prozesse und Systeme kompromisslos in Frage und kombinieren vorhandene Lösungen geschickt miteinander. So wird Ihre IT garantiert zum Business-Enabler.

 

Die Geschäftsleitungen von modernX und der Graf Unternehmensberatung kennen sich seit vielen Jahren, als der Grundstock für die gegenseitige Wertschätzung in der IT-Abteilung einer Sparkasse gelegt wurde. Nachdem beide Firmen mittlerweile gut positioniert sind war es an der Zeit, die Köpfe wieder einmal zusammen zu stecken. Dabei haben wir einige Ideen mit Mehrwert identifiziert, die wir gemeinsam mit weiteren Partnern sukzessive vorantreiben wollen.


So hat die modernX aus ihrem Beratungsumfeld sich u.a. auch sehr intensiv mit einer effizienten und strukturierten Abbildung von Sollmaßnahmen und der Umsetzung von Protokollierungskonzepten beschäftigt. Diese wichtigen Teilaspekte im Rahmen der Umsetzung von ISO 27001 ff. bzw. des SITB in der Sparkassenorganisation stellen die Bank- und Finanzdienstleistungsinstitute immer wieder vor Herausforderungen. Gemeinsam haben wir dafür einen stringenten Lösungsansatz, der zu einer einfacheren und transparenteren Umsetzung beiträgt. Im Rahmen unserer Zusammenarbeit können wir durch die Verzahnung auch mit anderen regulatorischen Themen für Sie entsprechende Mehrwerte generieren. Lesen Sie dazu demnächst mehr und lassen Sie sich überraschen!

15. OKT

Vorstellung unseres Partners Tricept
Informationssysteme AG

Mit der Tricept Informationssysteme AG verbindet uns ebenso wie mit dem DSV (Deutschen Sparkassenverlag) bereits eine längere gemeinsame Geschichte, wenn auch in diesem Fall zunächst in einer anderen Konstellation.


Wir freuen uns daher sehr, dass wir nun gemeinsam mit der Tricept AG für unsere Kunden optimale Lösungsangebote auf den Weg bringen können.


Die Tricept ist in den verschiedensten Informationssystemen zuhause und bietet seit über 20 Jahren innovative und technologieübergreifende Software-Lösungen in höchster Qualität an. Dabei arbeitet unser Partner mit den gängigsten Technologien der führenden Hersteller wie z.B. IBM, Oracle, Apple und Microsoft. Eigene Lösungen und Produkte gehören ebenso zum Portfolio wie die Beratung und das Projektmanagement komplexer IT-Projekte.


RiMaGo (Risk, Management & Governance), ist eine gemeinsame Software-Lösung der Tricept und der SIZ. Das IT-Steuerungstool wurde entwickelt, um IT-Prozesse transparenter zu machen. Ziel ist es, eine zentrale, aufsichtlich konforme und langfristig gepflegte Standardlösung zur Unterstützung aller im Projekt definierten Steuerungsfelder bereitzustellen. RiMaGo steht nicht nur für Geldinstitute bereit, auch Versicherungen und Unternehmen mit hohen Anforderungen an die IT-Steuerung können Ihr IT-Management damit optimieren.

 

Kernkompetenzen ergänzen sich perfekt
Nachdem Alexander Graf vor seiner selbstständigen Tätigkeit als Management Consultant für die SIZ GmbH, gemeinsam mit der Tricept AG, an der Vorgängerversion (SIMONPlus) von RiMaGo gearbeitet hat und über langjährige Sparkassenerfahrung verfügt sind wir heute in Kundensituationen in der Lage bei Bedarf die vorhandenen Kompetenzen gemeinsam für unsere Kunden nutzbar zu machen. Das IT Know-how der Tricept AG und die bankfachliche Expertise der Graf UB ergänzen sich perfekt.

12. OKT

Vorstellung unseres Partners Ferrit Consulting GmbH

Damit wir Ihnen den bestmöglichen Service und ein gutes Beratungsangebot bieten können, arbeiten wir mit einigen Partnern im Verbund. Als weiteren Partner in unserem Verbund heißen wir die Ferrit Consulting GmbH herzlich Willkommen. Die Ferrit Consulting GmbH ist Beratungs- und Umsetzungspartner für Banken, Sparkassen und der Finanz Informatik. Sie unterstützt Projekte an der Schnittstelle zwischen Bankfachlichkeit und IT. Unser Partner führt IT-Anwendungen technisch und prozessual ein, optimiert Prozesse und begleitet Kunden in Digitalisierungsprojekten. Die Ferrit Consulting hat sich auf die Umsetzung vorhandener Konzepte spezialisiert und bringt dafür entsprechende Templates und Methoden mit, um den Implementierungsaufwand möglichst gering zu halten.


Was macht unsere Zusammenarbeit aus und worin liegen die Mehrwerte
Unsere Kompetenzen ergänzen sich ideal und mit der Ferrit Consulting und deren Netzwerk haben wir auch in großen Projekten die notwendigen Ressourcen an Bord, um Sie ideal unterstützen zu können. Darüber hinaus können wir gerade im Zusammenspiel von aufsichtsrechtlichen Vorgaben und einer lösungsorientieren Umsetzung unsere Kompetenzen ideal einbringen.

08. OKT

Vorstellung unseres Partners g2c

Damit wir Ihnen den bestmöglichen Service und ein gutes Beratungsangebot bieten können, arbeiten wir mit einigen Partnern im Verbund. Neben der hub GmbH heißen wir auch die g2c, eine Marke der frobese GmbH herzlich Willkommen in einem schlagkräftigen Verbund. Neben Unterstützungsleistungen im Identity- and Access Management (IAM) verfügt die g2c auch über ausgeprägte Kompetenzen im IT-Compliance Umfeld. Mit der g2c ergänzen wir unser Beratungsportfolio zu zwei zentralen Herausforderungen in Banken- und Finanzdienstleistungsinstituten und auch darüber hinaus. Wir freuen uns mit der g2c einen hochqualifizierten Partner an unserer Seite zu haben, der über umfassende Projekterfahrungen und langjähriges Know-how in diesen Themenfeldern verfügt.


Was macht unsere Zusammenarbeit aus und worin liegen die Mehrwerte
Ein funktionsfähiges IAM System gewinnt immer mehr an Bedeutung und ist ein zentrales Element zur Erfüllung regulatorischer Vorgaben, aber insbesondere auch zum Schutz der Unternehmenswerte. Gemeinsam sorgen wir dafür, dass Ihr Berechtigungsmanagement gut aufgestellt ist und Sie damit auch einen wesentlichen Beitrag für Ihre IT-Compliance erfüllen können. Wir analysieren bestehende Strukturen und sorgen mit unserem gemeinsamen Know-how dafür, dass damit ggf. verbundene Herausforderungen zielorientiert angegangen werden können.

04. OKT

Vorstellung unseres Partners hub GmbH

Damit wir Ihnen den bestmöglichen Service und ein gutes Beratungsangebot bieten können, arbeiten wir mit einigen Partnern im Verbund. Die hub GmbH hat sich neben dem Schwerpunkt der Revisionsbegleitung u.a. auf das Interne Kontrollsystem und das Risikomanagement spezialisiert. Diese wichtigen Themenfelder können künftig mit der professionellen und langjährigen Erfahrung der hub GmbH vollumfänglich durch uns begleitet werden. Es freut uns sehr, dass wir mit der hub GmbH einen äußerst kompetenten, innovativen und leistungsstarken Partner an unserer Seite haben, mit dem wir uns schon in der Vergangenheit zu regulatorischen Fragen ausgetauscht haben und auf dessen Wissen und Erfahrungen wir in der Zukunft im Rahmen unserer Zusammenarbeit einfacher zurückgreifen können und Ihnen damit ein deutlich verbessertes Angebot aus einer Hand zur Verfügung steht.


Was macht unsere Zusammenarbeit aus und worin liegen die Mehrwerte
Systematisch und konsequent unterstützen wir Ihre strategischen Ziele und realisieren mit Ihnen passende Vorgehensmodelle entsprechend den regulatorischen Herausforderungen. Wir liefern keine überbordenden Methodenmodelle, sondern zu Ihrem Haus passende Ansätze die stringent ineinandergreifen und die für Sie beherrschbar sind. Gemeinsam haben wir ein gutes Gespür für das Machbare und bringen neben einer langjährigen Erfahrung auch den nötigen Pragmatismus mit, denn die größte Herausforderung Ihrer Projekte ist es diese erfolgreich abzuschließen.


Insbesondere zum IKS bereiten wir aktuell einen eigenen Newsletter vor. Seien Sie gespannt!

28. SEP

Veranstaltung „IT-Aufsicht bei Banken“

Im Rahmen der Veranstaltung „IT-Aufsicht bei Banken“ hat die Bankenaufsicht über die aktuellen Herausforderungen und Entwicklungen für die IT in Banken informiert und die Veränderungen der BAIT erläutert. Besonders interessant fanden wir die Ausführungen zu „DORA“ und den Meldepflichten bei Auslagerungen, sowie die Informationen zu festgestellten Mängeln im Rahmen von bankaufsichtsrechtlichen Prüfungen.


Sie wollen mehr erfahren?
Über folgenden Link gelangen Sie direkt zu den bereits bereitgestellten Vorträgen https://www.bafin.de/dok/15867380.


Für Ihre Fragen stehen wir Ihnen gerne zur Verfügung.

30. AUG

MaRisk / BAIT Check

Sie sind nicht sicher, wie weit Ihr Institut schon auf die veränderten aufsichtsrechtlichen Anforderungen vorbereitet ist? Wir unterstützen Sie gerne dabei und führen gemeinsam mit Ihnen einen MaRisk / BAIT Check durch. Dabei zeigen wir potenzielle Lücken auf und erarbeiten dazu passende Lösungen. Sprechen Sie uns gerne an!

16. AUG

BaFin veröffentlicht die neuen Fassungen von MaRisk und BAIT

Am 16.08.2021 hat die BaFin die geänderten Fassungen von MaRisk und BAIT veröffentlicht. Gegenüber den Konsultationsfassungen wurden noch geringfügige Anpassungen und Klarstellungen eingearbeitet.
Die aktuellen Fassungen mit den Gegenüberstellungen zu den bisher gültigen MaRisk und den BAIT finden Sie hier:

 

MaRisk

BAIT

22. Jul

Graf Unternehmensberatung unterstützt die Opfer der Flutkatastrophe


Die erschreckenden Bilder der unfassbaren Verwüstungen, die das verheerende Hochwasser in Teilen unseres Landes angerichtet hat, haben uns tief bewegt. Wir sind in Gedanken bei den zahlreichen Opfern und ihren Angehörigen, denen unser besonderes Mitgefühl gilt. Viele Menschen haben alles verloren was sie besessen haben und stehen vor großen Herausforderungen. Wir haben uns deshalb entschlossen, den Menschen in den betroffenen Gebieten zumindest finanziell unter die Arme zu greifen. Gemeinsam schaffen wir das!

 

Unterstützen auch Sie die Spendenaktion wirwunder.de/fluthilfe der Sparkassen in Deutschland.

18. Jun

Panther starten Werbepartnerschaft mit der Graf Unternehmensberatung


Die Augsburger Panther dürfen einen neuen Werbepartner willkommen heißen. Die Graf Unternehmensberatung wird in der Saison 2021-22 Top-Partner des PENNY DEL-Clubs.

 

Zum Artikel

08. Jun

Fünf Jahre Graf Unternehmensberatung


Im Juni 2021 gibt es die Graf Unternehmensberatung bereits 5 Jahre. Dankbar schauen wir auf die vergangenen Jahre zurück.


Zu unserem Jubiläum haben wir uns entschlossen die Arbeit des Bunten Kreises mit einer Spende zu unterstützen. Die Spendenübergabe sehen Sie hier.

31. Mai

Nach dem Bundestag hat nunmehr auch der Bundesrat das Gesetz zur Stärkung der Finanzmarktintegrität (FISG) verabschiedet.


Damit ist es der Bankenaufsicht bereits ab 01. Juli 2021 möglich, bzw. bei einzelnen Regelungen nach einer Übergangsfrist ab 01. Januar 2022, direkte Anordnungen zu treffen und Sonderprüfungen auch bei Dienstleistern durchführen. Dies erfordert im Kontext von Auslagerungen und Dienstleistersteuerung künftig eine intensivere Überwachung der Dienstleister. Für den Dienstleister bedeutet das, dass er sich konkreter mit der Erfüllung der bankspezifischen Anforderungen u.a. an die Informationssicherheit, das Interne Kontrollsystem (IKS), das Notfallmanagement, den Datenschutz und weiteren Vorgaben auseinandersetzen muss und der Auslagerungsvertrag sowie die Service-Level-Agreements konkreter gestaltet werden müssen.


Sie haben Fragen? Wir unterstützen Sie gerne!

05. Mai

BaFin kommuniziert Aufsichtsschwerpunkte 2021

 

Für 2021 hat die BaFin die folgenden drei Schwerpunkte definiert:

I. Auswirkungen der COVID-19-Pandemie
II. IT- und Cyberrisiken
III. Kollektiver Verbraucherschutz

 

Dem BaFin-weiten Schwerpunkt „IT- und Cyberrisiken“ widmet der Geschäftsbereich Bankenaufsicht auch 2021 besondere Aufmerksamkeit. Angesichts der fortschreitenden Digitalisierung und der pandemiebedingt zunehmenden Bedeutung der IT-Systeme für die Geschäftstätigkeit der Kreditinstitute hat dieses Thema weiter an Gewicht gewonnen. Cyberangriffe – insbesondere Datendiebstähle und Systemausfälle durch Hackerangriffe – sind für die Institute besonders relevante Gefahren. Schnell können dabei sehr hohe Verluste und ein immenser  Reputationsschaden entstehen. Vorstellbar sind aber auch gravierendere Szenarien.

 

Ergänzend zu den drei BaFin-weiten Schwerpunkten wird der Geschäftsbereich Bankenaufsicht 2021 ein besonderes Augenmerk auf Auslagerungen, digitale Prozesse, Betriebsmodelle sowie IT-Sicherheit richten.

 

Details können Sie dem beigefügten Schreiben der BaFin entnehmen.

25. Mär

Sind Sie schon fit für die neuen MaRisk und BAIT?


Mit der Veröffentlichung gelten in einzelnen Themenfelder teils erhebliche Veränderungen. Wir analysieren mit Ihnen gemeinsamen Ihren aktuellen Umsetzungsstand und begleiten Sie bei der Schließung identifizierter Lücken.


Worauf warten?

Kontakt

Ein unverbindlicher Austausch ist immer möglich. Unser Kontaktformular darf deshalb gerne genutzt werden. Sie können sich darauf verlassen, dass wir uns umgehend bei Ihnen melden. Selbstverständlich können Sie uns auch jederzeit telefonisch erreichen.

Firmenpräsentation

Newsletter