Regulatory
Jeder Wandel bringt auch einen rechtlichen Rahmen mit sich. Insbesondere in stark regulierten Bereichen wie dem Finanz- und Versicherungssektor ist die Sicherung des Kerngeschäfts elementar und symbiotisch an die Erfüllung der regulatorischen Anforderungen gekoppelt. Daher legen wir stets ein besonderes Augenmerk auf Rechtssicherheit und Normkonformität, auch wenn dies in manch einem Thema ein Spannungsverhältnis zu betriebswirtschaftlichen Entscheidungen und unternehmerischen Risiken aufbringt.
In Zeiten von schnellem Wandel auf Unternehmensebene sowie bei Regulatoren, ist die Konformität mit den gesetzlichen und darüber hinaus gehenden branchenspezifischen Vorgaben keine Option mehr, sondern essenziell, um wettbewerbs- und konkurrenzfähig zu bleiben. Denn auch das beste Vorhaben nützt nichts, wenn es im Prüfungsfall zum Scheitern verurteilt ist – hier kann es zu nennenswerten Bußgeldern sowie Abmahnungen kommen. Auch das operative Geschäft kann eingeschränkt werden.
Projektmanagement
Das PMO steuert folgende Schwerpunkte aus:
- Regulatorisches Anforderungs- und Projektmanagement
- Abhängigkeiten- und Synergiemanagement
- Prüfungsvorbereitung
- Project to market: Fachbereichseinbindung in Projektkontext
- Ressourcenmanagement
- Meeting Management
- Projektkommunikation
- Etablierung/Optimierung von Projektmanagement-Standards
- Budgeting & Controlling
Regulatorisches Anforderungs- und Projektmanagement
Anforderungen werden durch Experten und Fachbereiche aus regulatorischen Rahmenwerken identifiziert. Als PMO gilt es diese identifizierten Lücken zu konsolidieren, zu priorisieren und damit eine zentrale Anforderungsbasis zu schaffen. Unter Berücksichtigung dieser Relevanzen und der Zeitachse definieren wir inhaltlich aufgeteilte Stränge in Projektpläne und zu einer übergreifenden Roadmap. Darüber hinaus beobachten wir als fachliches PMO aber auch eigenständig und weitergehend die regulatorischen Kriterien und Entwicklungen via eigens bewährtem Kritikalitätsradar (Regulatory Radar).
Abhängigkeiten- und Synergienmanagement
Mit einer intervallgerecht wiederkehrenden Evaluierung der Prozesse und einem ständigen Tracking der Datenbasis aus den Kommunikationsströmen können wir den Projektfortschritt messen, Erfolge und Misserfolge aufzeigen und daraus Handlungsalternativen und -empfehlungen ableiten. Anschaulich können wir erreichte und verfehlte Meilensteine erkennen und im Zuge unseres ausgeprägten Projektrisikomanagements intervenieren, nachjustieren und die Abhängigkeiten neuformieren, andernfalls eine Anpassung von Zeitplan, Budget und Ressourcen vornehmen.
Prüfungsvorbereitung
Trotz aller regulatorischen Bemühungen und Konformitätsambitionen, wappnen wir Sie aber zeitgleich auch für den Ernstfall. Eine solide Prüfungsvorbereitung durch Präparierung aller möglichen in Betracht kommenden Dokumente sowie Kategorisierung und Katalogisierung ermöglicht uns und Ihnen, ein Echtzeit-Tracking und eine sofortige Abrufbereitschaft im Bedarfsfall. Damit Stress und Unstimmigkeiten präventiv vorgebeugt und die Abläufe koordiniert (nach-)vollzogen werden können, stellen wir anhand von Notfall- und Prüfungsfallplänen die Kommunikations- und Gremienprozesse im Prüfungsfall sicher, damit Verantwortliche und Nachweise schnell und sicher identifiziert werden können. Damit können wir die gelebte Compliance auch handfest nach außen repräsentieren.
Compliance
Den Vorsprung der Praxis holt die Legislative mit immer mehr Regularien auf und setzt dem freien wirtschaftlichen Handeln damit zunehmend Grenzen. Die Einhaltung all dieser Anforderungen gehört zum Wesen der Compliance. Davon sind nicht nur gesetzgeberische Anforderungen umfasst, sondern auch betriebsinterne Regeln, die für das Unternehmen und dessen Mitarbeiter obgleich der Selbstgegebenheit gleichwertigen Geltungsrang haben.
Im Compliance Bereich unterstützen wir daher federführend bei der Koordinierung und Umsetzung dieser Vorgaben. Compliance im Projektwesen gründet im umsichtigen Management der Abhängigkeiten und Korrelationen aller Compliance relevanten Aktivitäten.
Hierbei gilt es, aus allen Teildisziplinen die branchenspezifischen Vorgaben zu erkennen, fachlich herauszuarbeiten und die Ergebnisse zu einer organisierten Systematik zu konsolidieren. Um Prozess und Betriebsfluss aufrechterhalten zu können, legen wir besonderes Augenmerk auf Zusammenführung von Gleichem, Trennung von Ungleichem, Herbeiführung von Synergien und Meidung von Redundanzen. Dafür steuern unsere Compliance-Manager entweder übergreifend oder innerhalb der Three Lines of Defence die verschiedenen Aktivitäten, um Risiken fürs Unternehmen sukzessive verorten, Maßnahmen zuweisen und diese überwachen zu können.
Die erste Verteidigungslinie (First Line of Defence) gründet im operativen Management, das die Anforderungsgeber ständig beobachtet und neu bewertet, ob die Unternehmensziele mit den Marktregularien konform gehen. I.R.d. zweiten Verteidigungslinie (Second Line of Defence) werden die konkreten Risiken und Bedarfe des Betriebs ermittelt und sodann unternehmensweit gebündelt und reportet, wobei die Konformität des Betriebes mit Regeln, Sicherheit und Qualität geprüft werden. Damit stellt die Second Line die Effektivität der First Line sicher. Die Third Line of Defence bildet die interne Revision als selbständige Instanz im Unternehmensverband, die Ergebnisse aus First and Second Line sowie deren Effektivität objektiv bewertet. Dabei werden interne Kontroll- und Rückgriffsmechanismen evaluiert und die Resultate an die oberste Führungsriege kommuniziert.
Damit Unternehmen und Belegschaft im Projekt nach innen kohärent sind und nach außen geschlossen auftreten, ist es Priorität, das Verständnis durch alle Segmente des Betriebes zu tragen und die interne Akzeptanz sicherzustellen.
Datenschutz
Der Datenschutz ist noch ein eher junger, dafür aber nicht minder relevanter Regulatorikbereich. Dabei ist das Grundrecht auf informationelle Selbstbestimmung bereits mit Verfassungsrang im Grundgesetz verankert. Das Gesetz gibt den Bürgern das Recht, über Verwendung und Verarbeitung ihrer persönlichen Daten selbst zu bestimmen.Die Sicherstellung dieser Rechte und der Schutz der Rechtsgüter gehört inhaltlich zum Datenschutz, der mit der seit dem 25. Mai 2018 verbindlichen Datenschutz-Grundverordnung (DSGVO) eine regelrechte Renaissance erlebt, insbesondere durch die äußerst empfindlichen Bußgelder und Sanktionen, mit denen datenschutzrechtliche Verstöße geahndet werden.
Die DSGVO nimmt Unternehmen in die Pflicht und stellt Verbraucher unter ihr Protektorat. Betriebe haben daher immer mehr Anforderungen im Umgang mit personenbezogenen Daten zu beachten.
Als versierte und auf Datensicherheit und Datenschutz spezialisierte Consultants unterstützen unsere Ressourcen bei der Betriebsanalyse und dem Filtern der gesetzlich erforderlichen Anforderungen. Dabei befassen wir uns bei Blue Mountain u.a. mit den Regelungsbereichen rund um:
- Betroffenenrechte & Ausübung der Gestaltungsrechte
- Verzeichnisse für Verarbeitungstätigkeiten (VVT) & Verfahren (VVZ)
- Schwellwertanalysen * Datenschutzfolgeabschätzungen (DSFA)
- Innerbetriebliche Datenschutzkonformität
- Mitarbeiterschulungen und Arbeitsdatenschutz
- Datenschutz nach außen und Internetauftritte
- Informationspflichten und Obliegenheiten ggü. Aufsichtsbehörden
- Außenwirkung und externe Kommunikation mit Regulatoren
- Support des internen/betrieblichen Datenschutzbeauftragten (DSB)
- Bereitstellung externer Datenschutzbeauftragter (ext. DSB)
Da auch der Datenschutz als dynamische Regulationskomponente für viele Betriebe und insbesondere Beschäftigte Neuland ist, bedarf es auch hier einer behutsamen Approximation, damit kein Glied auf der Strecke bleibt.
Wir als Blue Mountain sehen den Schlüssel zum Erfolg in einem geschlossenen Auftreten des gesamten Unternehmerverbandes, der den Datenschutz nicht nur anerkennt, sondern auch authentisch lebt. Letzten Endes bleibt es nämlich irrelevant, wer im Unternehmen den Verstoß schließlich – aktiv oder passiv – ausgelöst hat, da dies auf Regelbruch und Sanktion keine Auswirkung hat. Um diesen Höchstrisikofall zu vermeiden, verstehen wir unter einem holistischen Datenschutzkonzept auch und im Besonderen die Aufklärungs-, Schulungs- und Informationsarbeit an der Basis. Dadurch kann den Mitarbeitern das nötige Know-How und die Sensibilität für das Thema an die Hand gegeben werde, um einen datenschutzrechtlich sicheren Umgang im Betrieb sicherzustellen.
Informationssicherheitsmanagement (ISM)
Die Aufstellung und Beschlussfassung über die konkreten IT-Sicherheitsmaßnahmen obliegt dem Verantwortungsbereich der Unternehmensführung, die regelmäßig die Security Policies publizieren und evaluieren sollten. Nachgeordneten Handlungsstränge sowie die eigentliche Ausarbeitung und Implementierung können sodann an Führungskräfte oder Verantwortliche wie z.B. den Informationssicherheits- oder Datenschutzbeauftragten übergeben werden.
I.R.d. Aufbaus und der Etablierung eines neuen ISM oder der Optimierung eines bestehenden Systems befassen wir uns u.a. mit den Handlungsfeldern:
- Risikomanagement-Prozesse
- Identifikation und Verortung von Informationssicherheitsrisiken
- Handhabung und Maßnahmenkataloge für Informationssicherheitsrisiken
- Koordinierung, Kommunikation und Projektmanagement
- Gesamtownership für den Aufbau von Leit- und Richtlinien sowie Arbeitsanweisungen
- Three Lines of Defence
- Etablierung und Ausfüllung von Gremien und Rollen inkl. Einbettung in die Unternehmensorganisation
- Design und Implementierung von Prozessen
- Reporting und Dokumentation
- Einführung von ISM/ISMS Tools
- Integration von ISM Anforderungen in bestehende Tools
- Erstellung und Umsetzung von Schutzbedarfsklassen (SBF)
Unsere auf Informationssicherheit und Datenschutz spezialisierten Consultants unterstützen Sie bei der gewissenhaften Umsetzung regulatorischen oder von Ihnen gewünschten Anforderungen.
Damit tragen wir gemeinsam der Bedürftigkeit Ihrer Daten nach Schutz Rechnung und sichern besonders kritische Systeme mit hohem Wert für Ihr Unternehmen präzise ab. Unser Engagement ermöglicht Ihnen auch zukünftig, mit einem prozessorientierten ISMS und den entsprechenden Tools eine kontinuierliche Einsichtsmöglichkeit sowie Tracking der aktuellen Ergebnisse und damit nicht zuletzt auch eine finanzielle Planbarkeit.
Parallel steigern Sie Ihre Wettbewerbs- und Konkurrenzfähigkeit, indem wir Sie durch passende Zertifizierungen und Auszeichnungen zur Nachweisbarkeit gegenüber Partnern, Kunden und Regulatoren führen.
Damit bauen wir Ihr Compliance Bewusstsein aus und sichern Ihnen ein gesteigertes Niveau an IT-Informationssicherheit, das nicht nur auf Papier attestiert wird, sondern auch nachweislich und spürbar in die betrieblichen Compliance Vorgänge greift.
Security & Architecture
Sowohl das betriebsinterne Netzwerk als die wohl wichtigste Ressource in der digitalen Wirtschaftswelt, als auch von Gesetzes wegen die personenbezogenen Daten der Kunden sind zwingend adäquat zu schützen. Um ein solches in sich geschlossenes Sicherheitssystem zu integrieren, was den Datenbestand sowohl an den Anforderungen der Schutzbedarfsklassen gemessen als auch im Ganzen schützt, bedarf es einer abgestimmten IT-Sicherheitsarchitektur. Daher bieten wir hochqualitative Sicherheits- und Architekturdienstleistungen unter Berücksichtigung der branchenspezifischen Vorgaben an, um der Verantwortung gerecht zu werden und Ihre Datensätze vor Fremdzugriff und Bedrohungen zu schützen.
Mit unserem nachhaltig durchdachten Aufbau ermöglichen wir Ihnen, die Verflechtungen komplexer IT-Strukturen zu durchdringen und mögliche Risikopotenziale früh- und rechtzeitig zu erkennen. Kernpunkte einer anspruchsvollen IT-Sicherheits- und Architekturarbeit und wesentliche Bestandteile unseres Portfolios sind u.a.:
- Access Management: Verwaltung und Authentifizierung von Ressourcen
- Identity & Competence Management: Identitäts- und Rollendefinition
- (Re-)Zertifizierungsprozesse
- Aufbau eines Cybersecurity Betriebsmodells (z.B. SIEM, SOC usw.)
- Etablierung und Prüfung von Datensicherungsmechanismen (z.B. DLP, DRM, AIP u. ATP)
- Prüfung und Optimierung von Netzwerk und Netzanbindung
- Implementierung eines Managed Service Security Providers
- Bedarfsgerechte Anpassung und Optimierung des gesamten Security Stacks
Nach einer gemeinsamen Analyse des Ist-Zustandes in Ihrem Betrieb entwickeln wir gemeinsam ein entsprechendes Anforderungskonzept, was neben den betriebsinternen Belangen im Besonderen den regulatorischen und gesetzgeberischen Weisungen durch alle Rechtsinstanzen hinweg gerecht wird. Da es auch hier mit einem einmaligen Aufbau einer IT-Sicherheitslandschaft nicht getan ist, beraten und unterstützen Sie unsere Architektur-Experten bei der laufenden Gewährleistung der vorab gemeinsam etablierten Sicherheitsstandards. Durch unsere fachlichen Schnittpunkte in relevante Rechtsbereiche bieten wir hier, ein laufendes Screening der sicherheitsrelevanten Entwicklungen in Legislatur und Rechtsprechung, damit die Rechtskonformität keine Momentaufnahme bleibt.
Business Continuity Management (BCM)
Auch wer die Betriebsabläufe im status quo gesichert und den Bedarfen angepasst hat, ist vor Unvorhergesehenem nicht gefeit. Seien es nun innerbetriebliche Umstände wie Stromausfälle und Brände, externe wie Naturkatastrophen und Umweltaspekte oder aber auch personelle und materielle Verluste – sie alle sind weder erwünscht noch planbar.
Hingegen ist es durchaus möglich, solche Risikopotenziale zu antizipieren und sich bestmöglich zu wappnen. Der Prozess der Ausarbeitung und Etablierung von Präventions- und Wiederherstellungssystemen ist die Verantwortung des Business Continuity Managements (BCM).
Primäres Ziel des BCMs ist es, den regelrechten Betrieb und die IT-Infrastruktur auch unter Krisenbedingungen oder im Notfall sicherzustellen, respektive bei einem Totalausfall einen schnellen und reibungslosen Wiederanlauf der IT-Prozesse zu gewährleisten.
Diese Ziele erreichen wir mit Erfahrung und Weitsicht durch Schwerpunktsetzung u.a. auf folgende Aspekte:
- Aufbau von Leit- und Richtlinien
- Risikoanalysen & Testaktivitäten
- Krisenmanagement & Notfallplanimplementation
- Kontroll- und Überprüfungsprozesse
- Definition und Aufbau von Rollen sowie deren Rollout
- Prüfung aller bestehenden Prozesse auf Kritikalität und Risiko
- Handlungsketten und Dienstanweisungen für verschiedene Krisenszenarien
Daher hat das BCM eine gewisse Verwandtschaft mit Risikomanagement und IT-Notfallplanung/IT-Sicherheit. Durch die Anerkennung vielfältiger potenzieller Risiken, haben wir unser Auge für das geschult, was andere gerne einmal übersehen, und ermöglichen auch hier, die bestmögliche Vorbereitung.
Im Krisenfall ist es wichtig zu wissen, welche Maßnahmen sofort durchzuführen sind und wie die Verantwortlichkeiten geregelt sind. Sofern alle Maßnahmen getroffen sind, ist der Notfallbetrieb durchzuführen und auf seine Funktionalität zu prüfen. Erst dann kann der Vorfall nachbereitet werden und ist im BCM zu evaluieren.
Da Blue Mountain immer auch einen rechtlichen Schwerpunkt setzt, gilt es hier zu beachten, dass auch das BCM mit seinen präventiven Vorkehrungen auch zu den gesetzlichen Anforderungen von Daten- und IT-Sicherheit gehört. Denn auch im Krisenfall wiegen Verfehlungen aus Fahrlässigkeit oder Unterlassen des Gebotenen schwer.
IT-Prozesse
Ganz im Gegenteil sieht sich der Praktiker mit einer undurchsichtigen Vielzahl verschiedenster IT-Prozesse konfrontiert, die sich teils überlagern und überschneiden, teils aber auch parallel verlaufen oder anderweitig miteinander verflochten sind und interagieren. Das birgt eine ebenso diffuse Spannbreite potenzieller Bedrohungen. Schnell wird deutlich: Absicherung ist notwendig.
In diesem Zusammenhang unterstützen unsere prozessorientierten und erfahrenen Consultants dabei, eine detaillierte Auflistung zu dokumentieren, die sodann übersichtlich aufbereitet zur Analyse von Abhängigkeiten und Korrelationen dienen kann. Aus dem Undurchsichtigen wird sodann ein klar strukturierter Katalog, dessen Teilbereiche präzise angesteuert werden können.
Inhaltlich berät Blue Mountain u.a. zu den Themenblöcken:
- Implementierung von Prozessen in Fachbereichen/Abteilungen
- Implementierung von Prozessen und Übersichten für die Gesamtorganisation
- Identifizierung & Katalogisierung aller Prozesse
- Vereinheitlichung & Fokussierung auf Ab- und Zusammenhänge
- Prozess-Risikoanalyse
- Erstellung & Handhabung von Prozess-Dokumentationsanforderungen
- Erstellung von RL/AA zu Prozessen
- Schnittstellendefinition von Prozessen
- Abhängigkeitsmanagement
- Prozessüberwachung & Prozesseskalation
- (Teil-)Prozessdokumentation
Der Koordinierung und Sicherstellung der IT-Prozesse kommt aber neben den Vorteilen fürs eigene Unternehmen auch im Bereich der Regulatorik eine eigene gewichtige Rolle. Denn ungeachtet der inhaltlichen und programmatischen Anforderungen erlegen Regulatoren den Anwendern auch prozessbezogene Normen und Klauseln auf.
Branchenspezifisch mit Blick auf den Banken- und Finanzsektor veröffentlichte bspw. die Bundesaufsicht für Finanzdienstleistungen (BaFin) schon am 3. November 2017 ein verbindliches Regelwerk über die Bankaufsichtlichen Anforderungen an die IT (BAIT). Das 20 Seiten starke Werk spezifiziert die Anforderungen u.a. auch für das Informationsrisiko- und -sicherheitsmanagement, den IT-Betrieb sowie die IT-Dienstleistungen, wobei darüber hinaus bei der Ausgestaltung der IT-Systeme auch die dazugehörigen IT-Prozesse und IT-Grundschutzkataloge herangezogen und geprüft werden sollen.
Outsourcing-Management
Immer mehr und mehr Dienstleister neigen zur Spezialisierung. Damit leitete der Markt unlängst eine Trendwende zum Generalistendenken ein; bestimmte Arbeiten an Spezialisten auszulagern geht mit vielen Vorteilen einher. So können u.U. Einsparungen ermöglicht werden, wenn die Bedarfe nicht kostspielig im eigenen Haus gedeckt oder aufgebaut werden müssen. Auch bei Rationalisierungsprozessen und arbeitspolitischen Differenzen kann ein Outsourcing in Regionen, die den eigenen Bedürfnissen besser entsprechen, angezeigt sein.
Bei der Planung und Umsetzung des Vorhabens ist aber einiges zu beachten, um den Reinfall auszuschließen. Die Auswirkungen einer fehlgeplanten Outsourcing-Maßnahme können nämlich gravierende Folgen haben und reichen vom Verlust personeller und materieller Ressourcen sowie anhäufender Arbeitsberge bis hin zu Unsicherheiten und Störungen im Betriebsablauf.
Damit gerade das vermieden werden kann, unterstützen wir unsere Kunden und Partner in folgenden Schwerpunkten:
- Auslagerungsstrategie
- Aufbau eines Auslagerungsregisters
- Auslagerungsbewertung
- Auslagerungsrisikomanagement
- Auslagerungsüberwachung
- Vertragsprüfung & -gestaltung bzgl. der Auslagerung
- Erstellung von Leit- und Richtlinien für Auslagerungsprozesse
- Outsourcing betreffende Detailanforderungen
- Rollendefinition & -besetzung
- Planung & ggf. Beschaffung des Ressourcenbedarfs
- Prüfung und Bewertung von Dienstleistern
- Vertragsreview und -anpassung sowie Dienstleisterkommunikation
- Berücksichtigung & Anpassung an EBA-Richtlinien
Damit Ihr Outsourcing-Projekt ein Erfolg wird, befassen wir uns mit der geplanten Maßnahme intensiv in personeller und regionaler Sicht und beraten Sie ehrlich und mit Weitblick.
Gerne begleiten wir auch Ihren gesamten Outsourcing-Prozess und treten als Ihr verhandlungsstarker und zielorientierter Partner in Vertrags- und Gestaltungsgesprächen mit möglichen Dienstleistern und Providern auf und überwachen die getroffenen Maßnahmen auf Konformität mit Compliance und Regulatorik.