Compliance, Risk & Security
 
Berichte

IT-Compliance

Herstellung der regulatorischen IT-Compliance unter Berücksichtigung aktueller Anforderungen der EZB bzw. BaFin

und Erhöhung der Transparenz über IT-Risiken für eine systemrelevante deutsche Privatbank.

 

Das Projektziel - die Überarbeitung der IT-Strategie vor dem Hintergrund geltender regulatorischer Anforderungen; Aufbau, Konzeption und Umsetzung eines angemessenen IT-Risikomanagements, signifikante Verbesserung der IT-Governance, Aufbau und Etablierung des bankweiten

Identity- und Accessmanagements, Erweiterung des internen Kontrollsystems (IKS), Alignment sämtlicher Vorgaben und Konzepte mit globalen / internationalen Vorgaben des Mutterkonzerns.

 

Die Ausgangssituation des Unternehmens war einerseits geprägt von vielen vereinzelten internen und externen Prüfungsfeststellungen im Umfeld

der IT-Compliance über die letzten Jahre sowie der bislang fehlenden nachhaltigen Geamtbetrachtung der Thematik andererseits. Im Zuge dessen     wurden bereits einige Analysen hierzu angestellt und ein unabhängiges Assessment der IT-Compliance durchgeführt. Die Summe der Erkenntnisse

und empfohlenen Maßnahmen führte letztlich zu der Überlegung die IT-Compliance im Rahmen eines Projektes nachhaltig und mit angemessenem Aufwand sicherzustellen. Insbesondere das Alignment mit globalen Governance-Vorgaben sollte hierbei ebenfalls im Fokus sein.

 

Die wesentliche Herausforderung in diesem Projektvorhaben lag in dem stetigen Spannungsfeld zwischen Umsetzungsanforderungen durch das Aufsichtsrecht und ökonomischen Abwegungen der Bank. Hierbei galt es stets die Balance zwischen Risikominimierung und Investitionsaufwand, d.h.

die Angemessenheit der Umsetzungsmaßnahmen, zu wahren. Ferner stellte die internationale Abstimmung des Vorhabens im Kontext unterschiedlich, zum Teil schwächer ausgeprägter regulatorischer Vorgaben besondere Anforderungen an das Projekt- und Stakeholdermanagement.

Dies gelang insbesondere aufgrund der zahlreichen Projekterfahrungen in diesem Umfeld sowie ferner der langjährigen Erfahrungen in der

Interpretation der sich stetig verändernden oder konkretisierteren Regularien durch die Strange Consult und im ständigen Austausch mit internen und externen Prüfern.

 

Die Summe der Herausforderungen galt es in ein klares und methodisches Projektvorgehen zu überführen. Nach Abschluss des Assessments

konnten die Handlungsfelder abgeleitet und priorisiert werden, woraus konkrete Maßnahmen abgeleitet und in einen Gesamtprojektplan über einen Zeithorizont von eineinhalb Jahren überführt werden. Insbesondere die kurzfristigen Handlungsfelder mussten risikoorientiert in einem ad-hoc Handlungsstrang mit einem Zeithorizont von sechs Monaten bearbeitet werden, um den wesentlichen Schwachstellen direkt zu begegnen und in den folgenden Jahresabschlussprüfungen sowie ggü. dem Aufsichtsrat und ggf. der Aufsicht wesentliche Fortschritte vorweisen zu können.

Parallel dazu mussten jedoch ebenfalls wichtige nachhaltige Weichenstellungen getätigt werden, um auch in Zukunft den regulatorischen veränderten Anforderungen gerecht zu werden. Hierzu galt es ein Zielbild zu entwerfen, welches die wesentlichen Handlungsfelder regulatorik-konforme IT-Strategie, IT-Risikomanagement, IT-Governance und Identity- und Accessmanagement umfasste. Die regelmäßige Abstimmung mit lokalen und globalen Stakeholdern stellte weiterhin das Eineinandergreifen der verschiedenen Vorgaben, Prozesse und Verantwortlichkeiten innerhalb der IT-Compliance sicher. Um die Informationssicherheits-Bedarfe des Instituts stets angemessen ableiten zu können kam den Fachbereichen eine besondere Rolle zu,

was ein gravierendes Umdenken aller Beteiligten erforderte. Das Gewinnen und Etablieren eines Sponsors im Vorstand für dieses Projekt begünstigte

die interdisziplinäre und bereichsübergreifende Arbeit aller.

 

Im Ergebnis ist in diesem Projekt eine neue regulatorik-konforme IT-Strategie abgestimmt, ein erweitertes IT-Risikomanagement inklusive der notwendigen 1st & 2nd Level Kontrollen sowie die Integration in der Gesamt-IKS der Bank etabliert. Die globalen IT-Governance Vorgaben mit lokalen Richtlinien sind angeglichen und umgesetzt. Im Umfeld des Identity- und Accessmanagements wurden die Berechtigungskonzepte der wesentlichen Anwendungen überarbeitet bzw. neu erstellt, die Reconciliation der IST-Berechtigungen zu den SOLL-Beständen im zentralen IAM-System durchgeführt und etabliert, ein Rollenmodell zur effizienten Einhaltung des Minimalprinzips konzernweit ausgerollt, eine zentrale IAM Stelle als 2nd Line of defense im IAM neu ins Leben gerufen, sowie ein methodischer Ansatz zur Wahrung der Funktionstrennung entwickelt und für die wesentlichen Anwendungen umgesetzt.

 

Die Strange Consult hat in diesem Projekt eine Vielzahl an Strange-Mehrwerten eingebracht:

 

 

Strange Unternehmertum: Viele Institute neigen in der Umsetzung regulatorischer Anforderungen zur Übererfüllung und damit zu

nicht effizienter Ressourcenallokation. Die stets angemessene und risikoorientierte Umsetzung von regulatorischen Anforderungen

verbindet uns auf unternehmerischer Ebene mit unseren Kunden.

 

Strange Simplify: Wir leiten regulatorische Anforderungen institutsindividuell ab und garantieren die Wahrung der

regulatorischen Compliance stets unter Berücksichtigung einer angemessenen Umsetzbarkeit für unsere Kunden und senken dabei

die Umsetzungskosten signifikant. Die Komplexität der Vielzahl von Abhängigkeiten innerhalb der Governance, Risk & Compliance     machen wir gemeinsam mit unseren Kunden verständlich, um zielgerichtete, unternehmerische Entscheidungen seitens des Managements

zu begünstigen.

 

Strange Offenheit: Wir betrachten uns im regulatorischen Umfeld stets als Bindeglied zwischen unserem Auftraggeber,

den Wirtschaftsprüfern sowie den Fachbereichen des Instituts, um den größtmöglichen Mehrwert zu stiften. Durch den offenen

Austausch über unterschiedliche Meinungen und Ideen mit unseren Mandanten sind wir somit  in der Lage gemeinsam

bestmögliche Ergebnisse zu erzielen.                                       

 

Strange Vertrauen: In diesem regulatorischen Umfeld hat es Strange Consult stets mit sehr sensiblen Informationen zu tun,

welche hochvertraulich zu behandeln sind. Nur durch unseren stetigen offenen Austausch und vor allem die ehrliche Weiterreichung

von Erfahrungen, schaffen wir Vertrauen im Projekt. Dies schafft die nötige Basis um von unseren Kunden stets vertrauensvoll auch

in kritischen Situationen zur bestmöglichen Lösung der Herausforderungen eingebunden zu werden. Unser Angebot, Kontakt mit

anderen Häusern zum unabhängigen institutsübergreifenden Austausch herzustellen, stärkt dieses Vertrauen in uns.

 

Strange Qualität: Die Umsetzung regulatorisch geforderter Anforderungen inklusive der dazugehörigen Prozesse und

Verantwortlichkeiten ist mehrfach projekterprobt und wird im Sinne best-practice nachhaltig von Projekt zu Projekt unter technologischer

und regulatorischer Aktualität, sei es durch die Weiterentwicklung innerhalb unserer Competence Center oder dem regelmäßigen

Austausch auf ExpertenRoundTables, immer auf dem neuesten Stand gehalten. Der Umstand, dass unsere Ergebnisse stets im Fokus

von Prüfungen seitens der BaFin bzw. EZB oder Wirtschaftsprüfer stehen, fordert von uns ein Höchstmaß an gelieferter Qualität für

unsere Kunden.

 

 

In diesem Projekt der Finanzdienstleistungsbranche arbeiten die Stranger Christoph Eckert als fachlicher Projektleiter und Lisa Faßbinder als Consultant, gemeinsam seit über sechs Monaten an der erfolgreichen Umsetzung.

Klicken Sie auf die Namen der Stranger um mehr über sie zu lesen!

Einführung eines Risikosteuerungssystem (RSS) für die Bereiche Treasury und zentrales Risikomanagement

Einführung einer gemeinsamen Plattform für beide Bereiche sowie Schaffung einer einheitlichen und

konsistenten Datenbasis

 

Das Projektziel - die Neugestaltung der Steuerung relevanter Risikoarten, um den ökonomischen und aufsichtsrechtlichen Anforderungen zu genügen und finanzmarktübliche Standards zu etablieren.

 

In der Ausgangssituation des Projektes lief das Programm zur "Einführung eines Risikosteuerungssystems (RSS) für die Bereiche Treasury und zentrales Risikomanagement" bereits seit 2 Jahren. Die letzte Testphase vor dem GoLive stand bevor, um eine gemeinsame Risikosteuerungsplattform für beide Bereiche für Zins-, Liquiditäts- und Währungsrisiken sowie die VaR-Berechnung für Asset- und Adress-Risikomodelle einzuführen. Darüber hinaus mussten noch offene Punkte im Test des letzten Releases abgearbeitet werden.

 

Die Herausforderungen und zentralen Aufgaben waren die Einführung einer detaillierten "state-of-the-art" Risikosteuerung und zur Erfüllung der regulatorischen Vorgaben, Anpassungen von den zuliefernden Erfassungsystemen bis hin zum Meldewesenssystem. Diese heterogenen und

komplexen Veränderungen erforderten ein intensives fachliches Testen der unterschiedlichen Arbeitspakete. Der hohe kommunikative und integrative Ansatz in der letzten Testphase bis zum GoLive barg Risiken, weshalb eine neue Rolle zur Unterstützung innerhalb des Projektes beschlossen und eingesetzt wurde: eine zusätzliche Testkoordination für die Fachbereichstester zur Gewährleistung der übergreifenden Aktivitäten und Kommunikation.

 

Im Projektvorgehen wurde durch den zusätzlich eingeführten Testkoordinator als COO der Tests und als Solutionmanager für alle zu lösenden Sachverhalte und Maßnahmen eine Verstärkung des Projektteams eingesetzt. Zu den Testmanagementaufgaben wurde die übergreifende Koordination, vor allem zur Stärkung einer intensiven fachlichen Zusammenarbeit der Stakeholder, Mediator zwischen IT und Business, genutzt. Die Einführung eines gemeinsamen Testraums mit ständiger Präsenz des Testkoordinators und der Provider, um Fragen der Tester direkt lösen zu können, waren ebenfalls

ein "Best-Practice"-Modell.

 

Im Ergebnis führte die verstärkte Kommunikation und eine inhaltlich praxisbezogene Gestaltung dieser Projektphase zu einem Aufheben des Silodenkens und zu einer aktiven Bildung eines gut funktionierenden Projektteams. Die erfolgreiche Begleitung bis zum GoLive des Programms führte

zur Erreichung der Projektziele. Ein Leason Learned Workshop brachte Verbesserungsvorschläge für nachfolgende Projekte innerhalb des Unternehmens. Mit einer gemeinsamen Risikosteuerungsplattform ist ein erfolgreicher Baustein im Sinne einer integrierten Finanzarchitektur erreicht. 

 

Die Strange Consult hat in diesem Projekt eine Vielzahl an Strange-Mehrwerten eingebracht:

 

 

Strange Transition: Wir bringen Fachbereiche mit der IT/Organisation in Einklang. Eine direkte und enge Zusammenarbeit in

der Projektphase mit Fach-KnowHow sorgt für Akzeptanz und gute Relation zur Beratung.

 

Strange Simplify: Wir haben ein Vorgehen, das komplexe und heterogene System- und Prozesswelten versteht und eine

unbelastete konstruktive Zusammenarbeit ermöglicht, aber die Umsetzbarkeit aus der Ausgangslage berücksichtigt und das in

einer vergleichbaren Zeitersparnis von ca. 40-50%.

 

Strange Offenheit: Wir geben unsere Erfahrung und Sicht immer offen und ehrlich ins Projekt, aber nie so, dass es um unsere

alleinige Meinung geht.                                             

 

Strange Vertrauen: Wir interagieren mit unseren Kunden partnerschaftlich und vertrauensvoll im Sinne der Wertschätzung und

der Projektzielerreichung.

 

Strange Qualität: Unsere Skills der STRANGE Berater sind linien und mehrfach projekterprobt und werden im Sinne der Best-Practice 

stetig und nachhaltig von Projekt zu Projekt in Verbindung mit technologischer sowie regulatorischer Aktualität immer auf den

neuesten Stand gehalten. Ein intensiver themenübergreifender Austausch bringt außergewöhnliche Beratungsleistunge hervor.

 

 

 "Testmanagement ist Kommunikation, Kommunikation und Kommunikation. Geregelte Testprozesse und Templates können eine verzahnte und auf den Punkt gebrachte Zusammenarbeit nicht ersetzen. Die wollen wir künftig in unserer Testgovernance mit berücksichtigen", Zitat des Kunden.

 

 

In diesem Projekt der Finanzdienstleistungsbranche arbeiteten die Stranger Ingrid Vollweiter als Testmanagerin und Lisa Faßbinder als PMO, gemeinsam über 6 Monate an der erfolgreichen Umsetzung.

Klicken Sie auf die Namen der Stranger um mehr über sie zu lesen!