Governance Risk Compliance

Wie Banken und Versicherungen von den neuen Regularien profitieren.

Finanzinstitute und Versicherungen stehen gleich auf zwei Seiten unter Veränderungsdruck. Zum einen durch die stärkere Vernetzung und Digitalisierung, zum anderen durch neue Vorschriften, Gesetze und verschärfte aufsichtsrechtliche Anforderungen. Bei Banken geschieht dies namentlich durch die BAIT, SREP, bei Versicherungen durch die VAIT. Anforderungen zur Einhaltung der DSGVO treffen beide gleichermaßen.

Mit den Bankaufsichtlichen Anforderungen an die IT (BAIT) hat BaFin die Mindestanforderungen an das Risikomanagement (MaRisk) im Bereich der IT-Risiken konkretisiert. Mit den Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) bezieht sie nun auch Versicherungsunternehmen ein und präzisiert für diese die Vorschriften über die Geschäftsorganisation im Versicherungsaufsichtsgesetz (VAG). Beide BaFin-Vorgaben beinhalten die Themen IT-Governance und Informationsrisikomanagement.

Auch die EZB gibt Kreditinstituten im Supervisory Review and Evaluation Process (SREP) Hausaufgaben auf. Diese wirken sich auf Risiken im Bereich Information, Communication und Technology (ICT) aus. In der Regel handelt es sich dabei um festgestellte Mängel, die innerhalb einer bestimmten Frist zu beheben sind.

Die Datenschutz-Grundverordnung (DSGVO) ist für alle Bereiche relevant, in denen personenbezogene Daten verarbeitet werden. Dies betrifft zum Beispiel den Zahlungsverkehr oder die Verarbeitung der Beschäftigtendaten.

Gewappnet für regulatorische Herausforderungen und Cyber-Risiken

Es wird immer schwieriger, die im Bereich GRC anstehenden Aufgaben sorgfältig zu koordinieren und sicherzustellen, dass Risiko- und Kontrollprozesse funktionieren. Hier kommt das Three Lines of Defense-Modell zum Einsatz – skalierbar und unabhängig von Art, Größe und Komplexität einer Unternehmensorganisation.

Die erste "Verteidigungslinie" bilden alle operativen Einheiten, die Leistungs-, Unterstützungs- und Steuerungsprozesse für die Bank erbringen. Diese Einheiten verantworten auch die von Ihnen ausgelagerten Prozesse, Funktionen und Services. Sie weisen der zweiten Linie die Umsetzung (Design Effectiveness) des operativen Kontrollsystems hinsichtlich der gemachten Vorgaben nach.

Die zweite Linie definiert die verbindlichen Vorgaben – sowohl für die internen Organisationseinheiten des Instituts als auch für ausgelagerte Prozesse, Funktionen und Services. Sie stellt gleichzeitig die Qualität der in der ersten Linie gemachten Angaben sicher und kontrolliert die Wirksamkeit (Operational Effectiveness) des operativen Kontrollsystems.

Die interne Revision – die dritte Linie – prüft die Funktionsfähigkeit der internen Kontrollsysteme der ersten und zweiten Linie hinsichtlich der Design und Operational Effectiveness.

Risiko minimieren und davon profitieren: Unsere Effizienzstrategie

Der Markt belohnt Unternehmen, die mit Risiken umzugehen wissen. Gute Performer verfügen über die richtigen Risikoidentifizierungs- und Bewertungsmaßnahmen.Unsere Berater unterstützen Sie dabei, diese für Ihr Unternehmen zu finden.

Gemeinsam mit Ihnen identifizieren und bewerten sie die relevanten aufsichtsrechtlichen Rahmenbedingungen, definieren eine geeignete Governance, arbeiten Leit- und Richtlinien aus und etablieren ein Compliance-Management-System. Darüber hinaus unterstützen unsere Experten Sie bei der Steuerung der operationellen Risiken.

Unter Berücksichtigung individueller aufbau- und ablauforganisatorischer Rahmenbedingungen werden Ihre Prozesse effizient gestaltet und operationalisiert. Kontrollprozesse implementieren wir auf einer integrierten GRC-Plattform. wie bspw. der RSA Archer Suite und binden vorhandene Systeme an. So erreichen Sie, dass die aufsichtsrechtlichen Anforderungen ressourcenschonend, effizient und wirtschaftlich eingehalten werden.

Wie wir für Sie arbeiten: Wir bei syracom setzen zum Beispiel auf …

… einen integrierten Ansatz. Dieser befähigt die Stakeholder, Risiken genauer zu prognostizieren und die großen Möglichkeiten Ihres Unternehmens zu kapitalisieren. Deshalb bieten wir Ihnen einen GRC-Ansatz mit integrierten Audit-, Risiko- und Compliance-Management-Aktivitäten.

… Operationalisierbarkeit. Regulatorische Anforderungen stellen sich zunehmend als strukturelle Eingriffe und Maßnahmen in die Gestaltung der GRC-Prozesse in Unternehmen dar. Durch unseren Beratungsansatz helfen wir Ihnen dabei, Antworten zu finden, Zusammenhänge zu erkennen und Aktivitäten für ein ausgewogenes und umsetzbares Gesamtkonzept zu entwickeln.

… maßgeschneiderte Lösungen. Wir arbeiten gemeinsam mit Ihnen daran, dass Ihre Mitarbeiter die jeweiligen GRC-Applikationen auf einer integrierten Plattform nutzen.

Interesse geweckt?

Rufen Sie mich an oder schreiben Sie mir

Katharina Siemund

Expertin im Themenbereich
Governance Risk Compliance

Fon: +49 6122 9176 0