Wir lassen Sie nicht im Vorschriftendschungel alleine und bringen gemeinsam mit Ihnen Licht ins Dunkel der regulatorischen Vorgaben.
Unsere umfangreichen Erfahrungen sind dabei unerlässlich, damit der Kompass in die richtige Richtung zeigt und Sie gut gerüstet in die nächste Prüfung gehen können.
Geschäfts- und Betriebsgeheimnisse im Kontext der Schutzziele Integrität / Authentizität, Vertraulichkeit und Verfügbarkeit zu schützen stellt eine wichtige Unternehmensaufgabe dar. Dabei geht es zum einen um den Schutz vor Datenmanipulation und Datenverlust. Zum anderen rückt das Thema Datenmissbrauch wie z. B. Datendiebstahl seit einigen Jahren immer mehr in den Fokus.
Mit Hilfe eines Informationssicherheitsmanagement Systems (ISMS) sollen Ihre Unternehmenswert geschützt werden. Es soll u.a. sichergestellt werden, dass nur autorisierte Benutzer Zugriff auf ihre Daten haben. Die unbemerkte Veränderung oder Manipulation von Daten gilt es zu verhindern. Ferner muss die Verfügbarkeit ihrer Unternehmenswerte sichergestellt sein. Deshalb sollten auch in ihrem Unternehmen entsprechende Maßnahmen implementiert werden, damit die Schutzziele eingehalten werden können und die Sicherheit der Informationen gewährleistet werden kann.
Im Rahmen unserer Beratung greifen wir dabei auf unsere eigene, langjährige Erfahrung im Bank- und IT-Umfeld zurück. Grundlage unserer Beratung ist dabei unsere ISO 27001-Zertifizierung zum Informationssicherheitsmanagement.
Gerne unterstützen wir ihr Haus bei der Einrichtung und laufenden Pflege des ISMS Systems. Gemeinsam mit Ihnen richten wir die entsprechenden Strukturen ein und stellen die Abbildung des Informationsverbundes und damit der Durchführung der Strukturanalyse und der Festlegung des Schutzbedarfes sicher.
Daraus resultierende Folgeaktivitäten gehen wir gemeinsam mit Ihnen an. Darüber hinaus bieten wir vollumfängliche Supportleistungen für Ihren internen Informationssicherheitsbeauftragten.
Die Benutzer- und Zugriffsberechtigungssteuerung (Identitiy- und Access-Management IAM) definiert Vorgaben, Grundsätze und Regelungen für die Vergabe, den Entzug, die Lösung und die Kontrolle von Benutzerkennungen und IT-Benutzerrechte jeglicher Art.
Mit Hilfe des Berechtigungsmanagements werden folgende Ziele verfolgt:
Wir analysieren mit ihnen gemeinsam die aktuelle Ist-Situation, stellen dem Ergebnis die aufsichtsrechtlichen Vorgaben gegenüber, identifizieren Abweichungen und arbeiten mit ihnen gemeinsam ein funktions- und rollenbasiertes Berechtigungsmanagement System aus.
Im Anschluss begleiten wir sie bei der Umsetzung der erforderlichen Veränderungen sowohl in der schriftlich fixierten Ordnung als auch die Umsetzung in ihren IT-Systemen.
Vorsorge für den Ausfall von Ressourcen und Prozessen zu treffen ist nicht nur ratsam, sondern auch im Kontext regulatorischer Vorgaben der Bankenaufsicht verpflichtend.
Durch vielfältige Einflüsse von außen wie von innen kann es schnell dazu kommen, dass aus einer zunächst einfachen Betriebsunterbrechnung (Störung) ein Notfall entsteht, auf den sie schnell und im Rahmen eines planvollen Handelns reagieren müssen.
Ein Notfall tritt dann ein, wenn Geschäftsprozesse absehbar länger als die vorher festgelegte maximal tolerierbare Ausfallzeit (MTA) ausfallen und der Bank / dem Unternehmen dadurch ein sehr hoher wirtschaftlicher Schaden oder ein nachhaltiger Imageverlust entsteht oder zu entstehen droht, z. B. weil ein Unternehmenswert (IT-Infrastruktur / IT-Anwendungen, Dienstleister, Personal, Gebäude) ganz oder teilweise ausfällt, der einen oder mehrere zeitkritische Prozesse unterstützt.
Deshalb lohnt es sich bereits im Vorfeld detaillierte Planungen anzustellen und auf Basis fundierter Grundlagen die richtigen Antworten auf den Ausfall von Ressourcen parat zu haben.
Wir unterstützen sie bei der Ausgestaltung ihrer Notfallvorgaben, der Durchführung von Auswirkungs- und Risikoanalyse und der Erstellung der Notfallpläne im Kontext des BSI Standards 200-4 zum Business Continuity Managements bzw. der ISO Norm 22301.
Wir analysieren mit ihnen gemeinsam den aktuellen Stand ihrer Notfallvorsorgemaßnahmen. Zu identifizierten Lücken erarbeiten wir entsprechende Möglichkeiten diese zu schließen. Mit Hilfe ihrer Prozessverantwortlichen ermitteln wir die Auswirkungen von Ausfällen und die damit einhergehenden Risiken für ihr Unternehmen.
Wo notwendig erstellen wir mit ihren Fachkolleginnen und Kollegen die relevanten Notfalldokumente, erstellen eine Notfallübungsplanung und sind auch bei deren Umsetzung gerne behilflich.
Auslagerungen werden in nahezu allen Unternehmen als Möglichkeit genutzt, um sich auf die eigenen Kernkompetenzen zu konzentrieren und um Aufwände zu reduzieren. Häufig werden aber die Risiken bei solchen Vorhaben nicht oder nur unzureichend betrachtet und die Verträge oft nicht unternehmerisch vorab ausreichend bewertet. Aufgrund der Komplexität die Auslagerungsvorhaben teilweise haben und den Erfordernissen die sich aus § 25 b KWG ergeben werden spezifische Anforderungen gestellt. Art und Umfang dieser Anforderungen sind auf Basis von MaRisk und BAIT risikoorientiert umzusetzen.
Wir überprüfen Ihre bestehenden Vorgaben zum Auslagerungsmanagement und zur Dienstleistersteuerung und bewerten das vorhandene Vorgehensmodell und evtl. genutzte Werkzeuge. Dabei leben wir auch ein besonders Augenmerk auf Ihr Vertragsmanagement. Soweit sich aus unserer Analyse ein Anpassungsbedarf ergibt erarbeiten wir für Sie zielorientiert Anpassungsvorschlägen und unterstützen Sie bei Bedarf auch bei der Auswahl geeigneter Tools.
Anwendungen, ob mittel Bereitstellung von Ihrem Rechenzentrum, von einem Drittanbieter oder im Rahmen von Eigenentwicklungen (IDV) haben für die Abwicklung der Geschäftsprozesse eine zentrale Bedeutung. Über Anwendungen werden mittels einer inhärenten Verarbeitungslogik fachliche Aufgaben in Prozessen erfüllt, z.B. die Gehaltsabrechnung oder die Anlage von Kundenstammdaten.
Hierbei kann es sich auch um Entwicklungen auf Basis von Trägersystemen (z.B. Excel) handeln. Eine „Anwendung“ setzt also voraus, dass eine Verarbeitung von Daten mit Hilfe einer Verarbeitungslogik erfolgt, wobei die Verarbeitung auch in der reinen Bereitstellung von Daten für nachgelagerte Prozesse oder die Archivierung liegen kann.
Ziel ist es, die aufsichtsrechtlichen Vorgaben gemäß MaRisk und BAIT insbesondere an die Integrität, Authentizität und Vertraulichkeit von Informationen/Daten sicherzustellen.
Auf der Basis unserer Erfahrungen rund um die Abbildung von IT Prozessen, auf der Grundlage von ITIL, bewerten wir die aktuellen Regelungen zum Anwendungseinsatz und prüfen die aufsichtskonforme Umsetzung. Wir arbeiten Ihnen auf der Grundlage der Prozesse zum Change-, Release- und Testmanagement entsprechende Empfehlungen für evtl. vorhandene Optimierungsmöglichkeiten aus und unterstützen Sie bei den notwendigen Anpassungen.
Wir unterstützen Sie bei der Definition relevanter bzw. meldepflichtiger Produkte und Kunden für FATCA sowie für CRS unter Berücksichtigung des OECD AEOI Standards und des FKAustG.
(Erkennung von Indizien beim Kontoinhaber sowie den assoziierten Partnern wie bspw. wirtschaftlich Berechtigte, Bevollmächtigte, Erben, Treuhänder)
Gemeinsam mit Ihnen sorgen wir für die Definition und Umsetzung der fachlichen Prozesse (client-onboarding, change in circumstance, pre-existing accounts due diligence sowie der BZSt-Meldungen). Wir unterstützen Sie bei der Konzeption, dem Design und der Umsetzung der Berichts- und Überwachungslogistik sowie der IT-Infrastruktur und stellen die Anbindung an die Schnittstelle des BZSt (ELMA) sicher.
Darüber hinaus begleiten wir Sie bei der Implementierung eines internen Compliance Control Framework.
Wenn Sie sich doch nicht ganz so sicher sind, dann unterstützen wir Sie gerne dabei mögliche Schwachstellen zu erkennen und beheben.
Wir überprüfen die bestehenden Meldeprozesse und identifizieren Inkonsistenzen und Fehlerquellen im Meldeprozess. Anschließend sorgen wir für die notwendigen Korrekturen und die Stabilisierung des Meldeprozesses.
Auf Wunsch etablieren wir eine QS Plattform unter Einbindung einer Schnittstelle zum Meldeprovider.
Ein unverbindlicher Austausch ist immer möglich. Unser Kontaktformular darf deshalb gerne genutzt werden. Sie können sich darauf verlassen, dass wir uns umgehend bei Ihnen melden. Selbstverständlich können Sie uns auch jederzeit telefonisch erreichen.
Wir nehmen uns gerne Zeit für ein unverbindliches Erstgespräch – telefonisch oder per Teams. Senden Sie uns jetzt Ihre Daten und Sie erhalten in Kürze mögliche Terminvorschläge.