Regulatorik

Vorgaben angemessen und prüfungssicher ausgestalten.

Wir lassen Sie nicht im Vorschriftendschungel alleine und bringen gemeinsam mit Ihnen Licht ins Dunkel der regulatorischen Vorgaben.

 

Unsere umfangreichen Erfahrungen sind dabei unerlässlich, damit der Kompass in die richtige Richtung zeigt und Sie gut gerüstet in die nächste Prüfung gehen können.

Informationssicherheit

Geschäfts- und Betriebsgeheimnisse im Kontext der Schutzziele Integrität / Authentizität, Vertraulichkeit und Verfügbarkeit zu schützen stellt eine wichtige Unternehmensaufgabe dar. Dabei geht es zum einen um den Schutz vor Datenmanipulation und Datenverlust. Zum anderen rückt das Thema Datenmissbrauch wie z. B. Datendiebstahl seit einigen Jahren immer mehr in den Fokus.


Mit Hilfe eines Informationssicherheitsmanagement Systems (ISMS) sollen Ihre Unternehmenswert geschützt werden. Es soll u.a. sichergestellt werden, dass nur autorisierte Benutzer Zugriff auf ihre Daten haben. Die unbemerkte Veränderung oder Manipulation von Daten gilt es zu verhindern. Ferner muss die Verfügbarkeit ihrer Unternehmenswerte sichergestellt sein. Deshalb sollten auch in ihrem Unternehmen entsprechende Maßnahmen implementiert werden, damit die Schutzziele eingehalten werden können und die Sicherheit der Informationen gewährleistet werden kann.


Im Rahmen unserer Beratung greifen wir dabei auf unsere eigene, langjährige Erfahrung im Bank- und IT-Umfeld zurück. Grundlage unserer Beratung ist dabei unsere ISO 27001-Zertifizierung zum Informationssicherheitsmanagement.

Unser Angebot

Gerne unterstützen wir ihr Haus bei der Einrichtung und laufenden Pflege des ISMS Systems. Gemeinsam mit Ihnen richten wird die entsprechenden Strukturen ein und stellen die Abbildung des Informationsverbundes und damit der Durchführung der Strukturanalyse und der Festlegung des Schutzbedarfes sicher.


Daraus resultierende Folgeaktivitäten gehen wir gemeinsam mit Ihnen an. Darüber hinaus bieten wir vollumfängliche Supportleistungen für Ihren internen Informationssicherheitsbeauftragten.

Berechtigungsmanagement

Die Benutzer- und Zugriffsberechtigungssteuerung (Identitiy- und Access-Management IAM) definiert Vorgaben, Grundsätze und Regelungen für die Vergabe, den Entzug, die Lösung und die Kontrolle von Benutzerkennungen und IT-Benutzerrechte jeglicher Art.


Mit Hilfe des Berechtigungsmanagements werden folgende Ziele verfolgt:

 

  • Organisationsstruktur inkl. Funktionen, Prozesse und Rollen der Bank sind aufeinander abgestimmt.
  • Es existiert ein ablauforganisatorisches Rollenmodell mit nachvollziehbaren Verantwortlichkeiten für Aktivitäten, Entscheidungen und Prozesse.
  • Die Funktionen und Rollen sind klar definiert und beschrieben.
  • Management des Zugriffs auf IT-Infrastrukturen und IT-Anwendungen auf der Grundlage der Informationssicherheit (Wahrung von Integrität/Authentizität, Vertraulichkeit und Verfügbarkeit der durch die Bank verarbeiteten Informationen).
  • Effiziente Reaktion auf Anforderungen bezüglich des Zugriffs auf IT-Infrastrukturen und IT-Anwendungen, der Änderung der Zugriffsberechtigungen oder Einschränkungen des Zugriffs und der ordnungsgemäßen Gewährung oder Änderung von Berechtigungen.
  • Überblick über den Zugriff auf IT-Infrastrukturen und IT-Anwendungen und Sicherstellung, dass die gewährten Berechtigungen nicht auf unzulässige Weise genutzt werden.
  • Neben den IT-Berechtigungen müssen die Vorgaben analog auch für Zutrittsberechtigungen zu Gebäuden, Zutrittsberechtigungen zu Sonderflächen sowie Kompetenzregelungen wie z.B. Zeichnungskompetenz oder Urkundenvollmachten umgesetzt werden.
  • Die internen Vorgaben einer Bank sind auch für Berechtigungen von Dienstleistern oder sonstigen Geschäftspartnern analog anzuwenden und in geeigneter Form zu vereinbaren.
  • Grundlage für die Einräumung bzw. Zuordnung von Rollen und den darunterliegenden Rechten / Rechtebündeln ist die Segregation of Duties (SoD) Matrix.

Unser Angebot


Wir analysieren mit ihnen gemeinsam die aktuelle Ist-Situation, stellen dem Ergebnis die aufsichtsrechtlichen Vorgaben gegenüber, identifizieren Abweichungen und arbeiten mit ihnen gemeinsam ein funktions- und rollenbasiertes Berechtigungsmanagement System aus.


Im Anschluss begleiten wir sie bei der Umsetzung der erforderlichen Veränderungen sowohl in der schriftlich fixierten Ordnung als auch die Umsetzung in ihren IT-Systemen.

Notfallmanagement

Vorsorge für den Ausfall von Ressourcen und Prozessen zu treffen ist nicht nur ratsam, sondern auch im Kontext regulatorischer Vorgaben der Bankenaufsicht verpflichtend.
Durch vielfältige Einflüsse von außen wie von innen kann es schnell dazu kommen, dass aus einer zunächst einfachen Betriebsunterbrechnung (Störung) ein Notfall entsteht, auf den sie schnell und im Rahmen eines planvollen Handelns reagieren müssen.


Ein Notfall tritt dann ein, wenn Geschäftsprozesse absehbar länger als die vorher festgelegte maximal tolerierbare Ausfallzeit (MTA) ausfallen und der Bank / dem Unternehmen dadurch ein sehr hoher wirtschaftlicher Schaden oder ein nachhaltiger Imageverlust entsteht oder zu entstehen droht, z. B. weil ein Unternehmenswert (IT-Infrastruktur / IT-Anwendungen, Dienstleister, Personal, Gebäude) ganz oder teilweise ausfällt, der einen oder mehrere zeitkritische Prozesse unterstützt.

Deshalb lohnt es sich bereits im Vorfeld detaillierte Planungen anzustellen und auf Basis fundierter Grundlagen die richtigen Antworten auf den Ausfall von Ressourcen parat zu haben.


Wir unterstützen sie bei der Ausgestaltung ihrer Notfallvorgaben, der Durchführung von Auswirkungs- und Risikoanalyse und der Erstellung der Notfallpläne im Kontext des BSI Standards 200-4 zum Business Continuity Managements bzw. der ISO Norm 22301.

Unser Angebot


Wir analysieren mit ihnen gemeinsam den aktuellen Stand ihrer Notfallvorsorgemaßnahmen. Zu identifizierten Lücken erarbeiten wir entsprechende Möglichkeiten diese zu schließen. Mit Hilfe ihrer Prozessverantwortlichen ermitteln wir die Auswirkungen von Ausfällen und die damit einhergehenden Risiken für ihr Unternehmen.


Wo notwendig erstellen wir mit ihren Fachkolleginnen und Kollegen die relevanten Notfalldokumente, erstellen eine Notfallübungsplanung und sind auch bei deren Umsetzung gerne behilflich.

Auslagerungsmanagement
Dienstleistersteuerung

Auslagerungen werden in nahezu allen Unternehmen als Möglichkeit genutzt, um sich auf die eigenen Kernkompetenzen zu konzentrieren und um Aufwände zu reduzieren. Häufig werden aber die Risiken bei solchen Vorhaben nicht oder nur unzureichend betrachtet und die Verträge oft nicht unternehmerisch vorab ausreichend bewertet. Aufgrund der Komplexität die Auslagerungsvorhaben teilweise haben und den Erfordernissen die sich aus § 25 b KWG ergeben werden spezifische Anforderungen gestellt. Art und Umfang dieser Anforderungen sind auf Basis von MaRisk und BAIT risikoorientiert umzusetzen.

Unser Angebot

 

Wir überprüfen Ihre bestehenden Vorgaben zum Auslagerungsmanagement und zur Dienstleistersteuerung und bewerten das vorhandene Vorgehensmodell und evtl. genutzte Werkzeuge. Dabei leben wir auch ein besonders Augenmerk auf Ihr Vertragsmanagement. Soweit sich aus unserer Analyse ein Anpassungsbedarf ergibt erarbeiten wir für Sie zielorientiert Anpassungsvorschlägen und unterstützen Sie bei Bedarf auch bei der Auswahl geeigneter Tools.

Anwendungseinsatz

Anwendungen, ob mittel Bereitstellung von Ihrem Rechenzentrum, von einem Drittanbieter oder im Rahmen von Eigenentwicklungen (IDV) haben für die Abwicklung der Geschäftsprozesse eine zentrale Bedeutung. Über Anwendungen werden mittels einer inhärenten Verarbeitungslogik fachliche Aufgaben in Prozessen erfüllt, z.B. die Gehaltsabrechnung oder die Anlage von Kundenstammdaten.
Hierbei kann es sich auch um Entwicklungen auf Basis von Trägersystemen (z.B. Excel) handeln. Eine „Anwendung“ setzt also voraus, dass eine Verarbeitung von Daten mit Hilfe einer Verarbeitungslogik erfolgt, wobei die Verarbeitung auch in der reinen Bereitstellung von Daten für nachgelagerte Prozesse oder die Archivierung liegen kann.


Ziel ist es, die aufsichtsrechtlichen Vorgaben gemäß MaRisk und BAIT insbesondere an die Integrität, Authentizität und Vertraulichkeit von Informationen/Daten sicherzustellen.

Unser Angebot

 

Auf der Basis unserer Erfahrungen rund um die Abbildung von IT Prozessen, auf der Grundlage von ITIL, bewerten wir die aktuellen Regelungen zum Anwendungseinsatz und prüfen die aufsichtskonforme Umsetzung. Wir arbeiten Ihnen auf der Grundlage der Prozesse zum Change-, Release- und Testmanagement entsprechende Empfehlungen für evtl. vorhandene Optimierungsmöglichkeiten aus und unterstützen Sie bei den notwendigen Anpassungen.

FATCA / CRS

Wir unterstützen Sie bei der Definition relevanter bzw. meldepflichtiger Produkte und Kunden für FATCA sowie für CRS unter Berücksichtigung des OECD AEOI Standards und des FKAustG.


(Erkennung von Indizien beim Kontoinhaber sowie den assoziierten Partnern wie bspw. wirtschaftlich Berechtigte, Bevollmächtigte, Erben, Treuhänder)

Unser Angebot

 

Gemeinsam mit Ihnen sorgen wir für die Definition und Umsetzung der fachlichen Prozesse (client-onboarding, change in circumstance, pre-existing accounts due diligence sowie der BZSt-Meldungen). Wir unterstützen Sie bei der Konzeption, dem Design und der Umsetzung der Berichts- und Überwachungslogistik sowie der IT-Infrastruktur und stellen die Anbindung an die Schnittstelle des BZSt (ELMA) sicher.

 

Darüber hinaus begleiten wir Sie bei der Implementierung eines internen Compliance Control Framework.

§ 24c KWG

  • Sind Ihre Verfahren gem. der aktuellen Regulatorik sattelfest und haben Sie Ihre Meldungen im Griff?
  • Sie kennen Ihre Datenquellen und können eine stabile Meldekette sicherstellen?

Wenn Sie sich doch nicht ganz so sicher sind, dann unterstützen wir Sie gerne dabei mögliche Schwachstellen zu erkennen und beheben.

Unser Angebot

 

Wir überprüfen die bestehenden Meldeprozesse und identifizieren Inkonsistenzen und Fehlerquellen im Meldeprozess. Anschließend sorgen wir für die notwendigen Korrekturen und die Stabilisierung des Meldeprozesses.


Auf Wunsch etablieren wir eine QS Plattform unter Einbindung einer Schnittstelle zum Meldeprovider.

Kontakt

Ein unverbindlicher Austausch ist immer möglich. Unser Kontaktformular darf deshalb gerne genutzt werden. Sie können sich darauf verlassen, dass wir uns umgehend bei Ihnen melden. Selbstverständlich können Sie uns auch jederzeit telefonisch erreichen.